Plataforma
php
Componente
glpi
Corregido en
11.0.1
CVE-2026-26026 describe una vulnerabilidad de inyección de plantillas en GLPI, un software de gestión de activos e IT. Esta falla permite la ejecución remota de código (RCE) si un administrador malintencionado explota la vulnerabilidad. El problema afecta a las versiones de GLPI desde la 11.0.0 hasta la 11.0.5 (excluyendo la 11.0.6) y ha sido solucionado en la versión 11.0.6.
La inyección de plantillas en GLPI permite a un atacante con privilegios de administrador ejecutar código arbitrario en el servidor donde se ejecuta GLPI. Esto podría resultar en la toma de control completa del sistema, robo de datos confidenciales (como información de usuarios, contraseñas, datos de activos), modificación de la configuración del sistema y la instalación de malware. La capacidad de ejecutar código arbitrario otorga al atacante un control significativo sobre el entorno de GLPI y los sistemas a los que tiene acceso. Un ataque exitoso podría tener un impacto devastador en la disponibilidad, integridad y confidencialidad de los datos de la organización.
Este CVE ha sido publicado el 6 de abril de 2026. No se ha reportado explotación activa en la naturaleza al momento de la publicación. La vulnerabilidad se considera de alta probabilidad de ser explotada debido a su gravedad (CVSS 9.1) y la facilidad con la que un atacante con privilegios de administrador puede explotarla. Se recomienda monitorear activamente los sistemas GLPI en busca de signos de compromiso.
Organizations heavily reliant on GLPI for asset and IT management are at significant risk. This includes companies with extensive IT infrastructure, those using GLPI for compliance reporting, and those with limited security expertise who may not be aware of the vulnerability or its potential impact. Shared hosting environments running GLPI are also particularly vulnerable due to the potential for cross-tenant exploitation.
• php / server:
find /var/www/html/glpi -name '*.template' -print0 | xargs -0 grep -i 'system(' • php / server:
journalctl -u php-fpm -f | grep -i 'template injection'• generic web:
curl -I https://your-glpi-server/app/templates/ | grep -i 'Content-Type: application/json'disclosure
patch
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-26026 es actualizar GLPI a la versión 11.0.6 o superior. Si la actualización a la última versión no es inmediatamente posible, considere implementar medidas de seguridad adicionales. Restrinja el acceso administrativo a GLPI solo a usuarios de confianza y con la menor cantidad de privilegios posible. Revise y endurezca las plantillas de GLPI para evitar la inyección de código malicioso. Implemente un firewall de aplicaciones web (WAF) para detectar y bloquear intentos de inyección de plantillas. Después de la actualización, verifique la integridad del sistema GLPI y revise los registros en busca de actividad sospechosa.
Actualice GLPI a la versión 11.0.6 o posterior para mitigar la vulnerabilidad de inyección de plantillas del lado del servidor. Esta actualización corrige la falla permitiendo que las plantillas se compilen correctamente, evitando la ejecución de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-26026 is a critical remote code execution vulnerability in GLPI versions 11.0.0 through 11.0.5. An administrator can exploit it through template injection, potentially gaining full control of the server.
You are affected if you are running GLPI versions 11.0.0 to 11.0.5. Check your GLPI version and upgrade immediately if vulnerable.
Upgrade GLPI to version 11.0.6 or later to resolve the vulnerability. If immediate upgrade is not possible, restrict administrator access and monitor logs.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest it is likely to become a target. Monitor security advisories.
Refer to the official GLPI security advisory on their website for detailed information and updates: [https://glpi.net/](https://glpi.net/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.