Vulnérabilité dans GLPI

Date de publication :

CVE-2021-39209[Score CVSS v3.1 : 8,8]

Une vulnérabilité a été découverte concernant l’outil de management des technologies de l’information GLPI. Un attaquant peut effectuer une attaque du type CSRF (Cross-Site Request Forgery), c’est-à-dire qu’il transmet discrètement à un utilisateur authentifié une requête http falsifié qui vise une action interne au système afin que celui-ci l’exécute à la place de l’attaquant. L’utilisateur devient ainsi complice de l’attaquant sans le savoir.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire

Criticité

    Score CVSS v3.1: 8,8

CVE

Composants vulnérables

    Les versions GLPI précédant 9.5.6

Solutions ou recommandations

  • Mettre à jour le composant conformément aux instructions de l’éditeur.

Liens