Plataforma
php
Componente
glpi
Corregido en
11.0.1
La vulnerabilidad CVE-2026-26027 es una falla de Cross-Site Scripting (XSS) presente en GLPI, un software de gestión de activos e IT. Esta vulnerabilidad permite a un usuario no autenticado inyectar código malicioso a través del endpoint de inventario, comprometiendo potencialmente la integridad y confidencialidad de los datos. Afecta a las versiones de GLPI desde 11.0.0 hasta, pero sin incluir, la versión 11.0.6. La vulnerabilidad ha sido corregida en la versión 11.0.6.
Un atacante puede explotar esta vulnerabilidad para ejecutar scripts maliciosos en el navegador de un usuario que visite una página afectada. Esto podría resultar en el robo de credenciales de usuario, la modificación de datos sensibles o la redirección a sitios web maliciosos. El impacto se amplifica si el atacante puede comprometer cuentas con privilegios administrativos dentro de GLPI, permitiéndole controlar la gestión de activos e IT de la organización. La inyección de scripts podría también ser utilizada para realizar ataques de phishing dirigidos a usuarios específicos.
Esta vulnerabilidad fue publicada el 6 de abril de 2026. No se ha reportado explotación activa en entornos reales hasta la fecha. La probabilidad de explotación es considerada media, dado que la vulnerabilidad requiere interacción del usuario (visitar una URL maliciosa) pero no requiere autenticación. Se recomienda monitorear fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Organizations utilizing GLPI versions 11.0.0 through 11.0.5, particularly those with publicly accessible GLPI instances or those lacking robust input validation measures, are at significant risk. Shared hosting environments where multiple users share the same GLPI instance are also particularly vulnerable, as an attacker could potentially compromise the entire environment through a single successful XSS attack.
• php: Examine GLPI inventory endpoint logs for unusual characters or patterns indicative of XSS attempts. Look for POST requests containing <script> or <iframe> tags.
grep -i '<script' /var/log/apache2/access.log | grep glpi/inventory• generic web: Use curl to test the inventory endpoint with a simple XSS payload and observe the response for script execution.
curl -X POST -d '<script>alert("XSS")</script>' http://your-glpi-server/inventory/• generic web: Check GLPI's access and error logs for any unusual activity or error messages related to the inventory endpoint.
disclosure
Estado del Exploit
EPSS
0.05% (14% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-26027 es actualizar GLPI a la versión 11.0.6 o superior. Si la actualización no es inmediatamente posible, considere implementar reglas en un Web Application Firewall (WAF) para filtrar solicitudes que contengan patrones de inyección XSS en el endpoint de inventario. Además, revise y endurezca las políticas de seguridad de GLPI, incluyendo la validación de entradas y el saneamiento de la salida. Después de la actualización, confirme la corrección revisando los logs de GLPI en busca de intentos de inyección XSS.
Actualice GLPI a la versión 11.0.6 o posterior para mitigar la vulnerabilidad de XSS. Esta actualización corrige el problema al validar correctamente la entrada del usuario en el endpoint de inventario, previniendo la ejecución de scripts maliciosos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-26027 is a cross-site scripting (XSS) vulnerability affecting GLPI versions 11.0.0 through 11.0.5. An unauthenticated attacker can inject malicious scripts through the inventory endpoint.
You are affected if you are running GLPI versions 11.0.0 through 11.0.5. Upgrade to 11.0.6 or later to mitigate the risk.
The recommended fix is to upgrade GLPI to version 11.0.6 or later. As a temporary workaround, implement input validation and sanitization on the inventory endpoint.
There is currently no evidence of active exploitation in the wild, but the vulnerability has been added to the CISA KEV catalog, indicating a potential risk.
Refer to the official GLPI security advisory for detailed information and updates: [https://glpi.net/security](https://glpi.net/security)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.