Plateforme
php
Composant
gestsup
Corrigé dans
3.2.61
La vulnérabilité CSRF (Cross-Site Request Forgery) CVE-2026-22194 affecte GestSup, un logiciel de gestion, dans les versions allant de 0 à 3.2.60. Cette faille permet à un attaquant de tromper un utilisateur authentifié pour qu'il exécute des actions involontaires, potentiellement compromettant la sécurité du système. La publication de cette vulnérabilité a eu lieu le 9 janvier 2026, et des mesures de mitigation sont disponibles en attendant une mise à jour.
Cette vulnérabilité CSRF dans GestSup permet à un attaquant d'exploiter la session d'un utilisateur authentifié pour effectuer des actions en son nom. Le scénario d'attaque le plus critique consiste à créer de nouveaux comptes administratifs en exploitant l'endpoint de création d'utilisateur. Un attaquant pourrait ainsi obtenir un accès non autorisé aux fonctionnalités d'administration de GestSup, compromettant l'intégrité des données et la sécurité globale du système. L'attaquant pourrait également modifier des configurations sensibles ou supprimer des données critiques. La portée de l'impact dépend de la criticité des données gérées par GestSup et du niveau d'accès accordé aux comptes administratifs.
La vulnérabilité CVE-2026-22194 a été publiée le 9 janvier 2026. Il n'y a pas d'indications d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nature relativement simple de l'attaque CSRF et de la disponibilité potentielle de scripts d'exploitation. Aucun proof-of-concept public n'a été identifié à ce jour, mais la vulnérabilité est susceptible d'être exploitée par des acteurs malveillants.
Organizations utilizing GestSup for any purpose are at risk, particularly those with administrative interfaces accessible over the internet. Shared hosting environments where multiple users share the same GestSup instance are especially vulnerable, as an attacker could potentially compromise the entire hosting account.
• php / web:
curl -I 'http://your-gestsup-domain.com/admin/create_user.php' | grep 'Content-Security-Policy'• generic web:
curl -I 'http://your-gestsup-domain.com/admin/create_user.php' | grep -i 'csrf-token'disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
En l'absence d'une version corrigée immédiatement disponible, plusieurs mesures de mitigation peuvent être mises en œuvre pour réduire le risque d'exploitation de la vulnérabilité CSRF. La première consiste à implémenter des jetons CSRF (Cross-Site Request Forgery tokens) sur tous les formulaires et les requêtes sensibles. Ces jetons doivent être uniques pour chaque session utilisateur et validés côté serveur. L'utilisation d'une politique de sécurité de contenu (CSP) peut également aider à atténuer le risque en limitant les sources de contenu autorisées. De plus, il est recommandé de sensibiliser les utilisateurs aux risques liés aux attaques CSRF et de les encourager à vérifier l'URL des pages qu'ils visitent avant de soumettre des informations sensibles. Après l'implémentation de ces mesures, vérifiez leur efficacité en simulant une attaque CSRF.
Mettez à jour GestSup vers une version postérieure à la 3.2.60. Cela corrigera la vulnérabilité CSRF qui permet la création de comptes privilégiés. Consultez le changelog sur le site web du fournisseur pour plus de détails sur la mise à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-22194 est une vulnérabilité CSRF dans GestSup, permettant à un attaquant d'exécuter des actions en votre nom si vous êtes connecté.
Vous êtes affecté si vous utilisez GestSup versions 0 à 3.2.60 et que vous n'avez pas mis en place de mesures de mitigation.
Mettez à jour vers une version corrigée de GestSup dès qu'elle sera disponible. En attendant, implémentez des jetons CSRF et une politique CSP.
Il n'y a pas d'indications d'exploitation active à ce jour, mais la vulnérabilité est susceptible d'être exploitée.
Consultez le site web officiel de GestSup ou leurs canaux de communication pour obtenir l'avis officiel concernant CVE-2026-22194.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.