Vulnérabilité dans GLPI
Date de publication :
Une nouvelle vulnérabilité a été corrigée dans le gestionnaire de parc GLPI :
CVE-2020-26212[Score CVSS v3 : 6.5] : Tout utilisateur authentifié à la possibilité de consulter le planning de n’importe quel utilisateur indépendamment des niveaux de privilèges de ceux-ci.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Violation des politiques de sécurité
Consultation d’informations sensibles
Criticité
Score CVSS v3 : 6.5
Existence d’un code d’exploitation
La vulnérabilité peut être exploitée en suivant la démarche suivante :
Création d'un planning avec l'utilisateur A ‘martin.dupond’ (du groupe ‘IT’ et qui appartient à ‘Super-admin’) dans son planning personnel dans ‘Assistance’ → ‘Planning’.
Copie de l’url CalDAV et utilisation d’un client CalDAV (comme ThunderBird par exemple) pour synchroniser le planning avec l’url copiée.
Remplir l'authentification avec n’importe quel utilisateur B inscrit. (“John” du groupe “Marketing” par exemple).
L’utilisateur B ‘John’ a alors accès au planning du groupe ‘IT’.
Ce comportement est reproductible quel que soit les permissions du profil de l’utilisateur B et quel que soit le groupe ciblé.
Composants vulnérables
GLPI (<v9.5.3)
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour GLPI vers la version 9.5.3 ici.
Solution de contournement
Supprimer le fichier “caldav.php” pour empêcher l’accès au serveur CalDAV.