प्लेटफ़ॉर्म
php
घटक
glpi-inventory-plugin
में ठीक किया गया
1.5.1
GLPI इन्वेंट्री प्लगइन में एक अनुचित पहुँच नियंत्रण भेद्यता की पहचान की गई है। यह भेद्यता प्लगइन के संस्करणों में मौजूद है जो 1.5.0 से कम या बराबर हैं, और नेटवर्क खोज, सॉफ्टवेयर तैनाती और डेटा संग्रह जैसे कार्यों को प्रभावित करती है। संस्करण 1.5.0 में इस भेद्यता को ठीक कर दिया गया है।
यह भेद्यता हमलावरों को अनधिकृत पहुँच प्राप्त करने और संवेदनशील जानकारी तक पहुँचने की अनुमति दे सकती है। हमलावर नेटवर्क खोज, सॉफ्टवेयर तैनाती और डेटा संग्रह जैसे कार्यों को निष्पादित कर सकते हैं, जिससे सिस्टम की सुरक्षा और गोपनीयता से समझौता हो सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि GLPI इन्वेंट्री प्लगइन का उपयोग अक्सर महत्वपूर्ण IT बुनियादी ढांचे को प्रबंधित करने के लिए किया जाता है। एक सफल शोषण से डेटा उल्लंघन, सिस्टम समझौता और सेवा व्यवधान हो सकता है। इस भेद्यता का प्रभाव व्यापक हो सकता है, क्योंकि यह कई अलग-अलग प्रकार के सिस्टम और अनुप्रयोगों को प्रभावित कर सकता है।
यह भेद्यता अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं की गई है, लेकिन इसका उच्च CVSS स्कोर इंगित करता है कि इसका शोषण किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं देखा गया है। CISA ने इस भेद्यता को अपनी KEV (Known Exploited Vulnerabilities) सूची में शामिल नहीं किया है। NVD (National Vulnerability Database) में 2025-03-25 को प्रकाशित किया गया था।
Organizations utilizing GLPI for IT asset management and specifically deploying the Inventory Plugin are at risk. This includes environments with multiple user roles and granular access controls, as the vulnerability could be exploited to escalate privileges and gain unauthorized access to sensitive inventory data. Shared hosting environments running GLPI are also particularly vulnerable, as they may have limited control over plugin updates and security configurations.
• php: Examine GLPI plugin files for insecure access control checks. Search for instances where user authentication or authorization is bypassed.
grep -r 'user_id' /path/to/glpi/plugins/inventory/ • generic web: Monitor GLPI access logs for unusual activity, such as requests to plugin endpoints from unauthorized IP addresses or user accounts.
grep "Unauthorized" /var/log/apache2/access.log | grep /plugins/inventory/ disclosure
एक्सप्लॉइट स्थिति
EPSS
0.20% (41% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, GLPI इन्वेंट्री प्लगइन को संस्करण 1.5.0 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक्सेस नियंत्रण को मजबूत करने के लिए अस्थायी उपाय किए जा सकते हैं, जैसे कि प्लगइन तक पहुँच को केवल अधिकृत उपयोगकर्ताओं तक सीमित करना। WAF (वेब एप्लीकेशन फ़ायरवॉल) का उपयोग करके अनधिकृत अनुरोधों को ब्लॉक किया जा सकता है। प्लगइन के लॉग की नियमित रूप से निगरानी करना भी महत्वपूर्ण है ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके।
Actualice el plugin GLPI Inventory a la versión 1.5.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de control de acceso inadecuado. La actualización se puede realizar a través del panel de administración de GLPI o descargando la nueva versión desde el sitio web oficial del plugin.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-27147 GLPI इन्वेंट्री प्लगइन के संस्करणों में एक भेद्यता है जो 1.5.0 से कम या बराबर हैं, जो हमलावरों को अनधिकृत पहुँच प्राप्त करने की अनुमति देता है।
यदि आप GLPI इन्वेंट्री प्लगइन के संस्करण 1.5.0 से कम या बराबर का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
GLPI इन्वेंट्री प्लगइन को संस्करण 1.5.0 या बाद के संस्करण में तुरंत अपडेट करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं की गई है, लेकिन इसका उच्च CVSS स्कोर इंगित करता है कि इसका शोषण किया जा सकता है।
अधिक जानकारी के लिए GLPI सुरक्षा सलाहकार देखें: [https://glpi.org/](https://glpi.org/)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।