GLPI Project - CVE-2026-26001
Date de publication :
Il s'agit d'une vulnérabilité d'injection SQL dans le composant de reporting du plugin GLPI Inventory.
GLPI Inventory est un plugin pour GLPI gérant la découverte réseau, l'inventaire des équipements, le déploiement logiciel et la collecte de données remontées par les agents GLPI.
Les entrées utilisateur provenant du rapport dropdown_calendar sont intégrées dans une requête SQL sans neutralisation ni assainissement. Un utilisateur disposant des droits d'accès aux rapports peut injecter des commandes SQL arbitraires via ce champ.
Elle permet à un attaquant authentifié distant d'extraire des données sensibles de la base et d'altérer partiellement les données exposées par le plugin.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
Exploitation
CWE-89 : Improper Neutralization of Special Elements used in an SQL Command (SQL Injection)
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
GLPI Inventory Plugin versions 1.6.5 et antérieures