Plateforme
php
Composant
glpi
Corrigé dans
0.60.1
La vulnérabilité CVE-2026-25932 affecte GLPI, un logiciel libre de gestion des actifs et des TI. Elle permet à un utilisateur technique authentifié d'injecter une charge utile XSS dans les champs fournisseur, potentiellement compromettant la sécurité de l'application. Cette faille touche les versions de GLPI comprises entre 0.60 et la version 10.0.24 (excluant). Une correction est disponible dans la version 10.0.24.
Cette vulnérabilité XSS permet à un attaquant d'exécuter du code JavaScript arbitraire dans le contexte du navigateur de l'utilisateur authentifié. L'attaquant pourrait ainsi voler des cookies de session, rediriger l'utilisateur vers un site malveillant, ou modifier l'apparence de l'interface GLPI pour induire l'utilisateur en erreur. Le risque est particulièrement élevé si l'utilisateur authentifié possède des privilèges d'administrateur, car l'attaquant pourrait alors compromettre l'ensemble du système GLPI. Une exploitation réussie pourrait mener à un vol de données sensibles, une prise de contrôle du système, ou une dégradation de la disponibilité du service.
Cette vulnérabilité a été rendue publique le 6 avril 2026. Il n'y a pas d'indications d'exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'a été identifié. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA. La sévérité est évaluée à HIGH (7.2) selon CVSS.
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour GLPI vers la version 10.0.24 ou supérieure. En attendant la mise à jour, il est possible de restreindre les privilèges des utilisateurs techniques afin de limiter leur capacité à modifier les champs fournisseur. Il est également recommandé de surveiller attentivement les journaux d'activité de GLPI pour détecter toute tentative d'injection XSS. Bien qu'il n'existe pas de règles WAF spécifiques à cette vulnérabilité, une règle générale de filtrage des entrées utilisateur pourrait aider à atténuer le risque. Après la mise à jour, vérifiez l'intégrité des fichiers GLPI pour vous assurer qu'ils n'ont pas été altérés.
Actualice GLPI a la versión 10.0.24 o superior para mitigar la vulnerabilidad de XSS. Esta actualización corrige el problema al sanear correctamente la entrada del usuario en el campo 'Sitio web del proveedor', evitando la ejecución de código malicioso.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS (Cross-Site Scripting) is a type of security vulnerability that allows attackers to inject malicious scripts into websites viewed by other users. These scripts can steal information, redirect users to malicious websites, or modify the website's appearance.
If you are using a version of GLPI prior to 10.0.24, your installation is vulnerable. Check your GLPI version on the system's administration page.
Immediately upgrade to version 10.0.24 or later. Review GLPI logs for suspicious activity and consider changing all user passwords.
If immediate upgrading is not possible, implement strict user input validation and consider applying Content Security Policy (CSP).
You can find more information about this vulnerability on vulnerability databases such as the National Vulnerability Database (NVD) or the GLPI website.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.