Vulnérabilité dans Adressing Plugin de GLPI
Date de publication :
CVE-2021-43779[Score CVSS v3.1: 9.9]
Cette vulnérabilité est de type « exécution de code arbitraire » et concerne le programme complémentaire Adressing Plugin du logiciel GLPI. Il est possible d’entrer des données malveillantes pour corrompre le fonctionnement du programme. L’exploitation de cette vulnérabilité peut permettre l’exécution de code arbitraire sur le système d’exploitation où est installé le serveur.
GLPI est un logiciel libre qui permet de fournir une aide en tant que gestionnaire de services informatiques au sein d’une entreprise. Le programme complémentaire Adressing Plugin permet de gérer spécifiquement toutes les adresses IP de l’entreprise.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Criticité
Score CVSS v3.1: 9.9
La faille est activement exploitée
Non
Un correctif existe
Oui
Une mesure de contournement existe
Non
Les vulnérabilités exploitées sont du type
CWE-20 : Improper Input Validation
Détails sur l’exploitation
Pour l’ensemble des CVE présentés :
Vecteur d’attaque : réseau
Complexité de l’attaque : Faible
Privilèges nécessaires pour réaliser l’attaque : Non
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
Les versions de GLPI Adressing Plugin antérieure à la version 2.9.1
Solutions ou recommandations
- Effectuer la mise à jour GLPI Adressing Plugin vers la version 2.9.1.
- Il est possible de désactiver GLPI Adressing Plugin. Plus d’informations sont disponibles ici