HIGHCVE-2025-53105CVSS 7.5

GLPIにおいて、不正なルール実行順序を許可する

Q: CVE-2025-53105 — 権限昇格 in GLPIとは何ですか？

CVE-2025-53105は、GLPIバージョン10.0.0から10.0.19において、管理者権限を持たないユーザーがルール実行順序を変更できる脆弱性です。これにより、攻撃者は本来アクセスできない機能やデータにアクセスできるようになる可能性があります。

Q: CVE-2025-53105 in GLPIに影響を受けますか？

GLPIのバージョンが10.0.0から10.0.19のいずれかである場合、この脆弱性に影響を受ける可能性があります。バージョン10.0.19以降にアップデートすることで、この脆弱性を解消できます。

Q: CVE-2025-53105 in GLPIを修正するにはどうすればよいですか？

GLPIをバージョン10.0.19にアップデートすることで、この脆弱性を修正できます。アップデートが困難な場合は、一時的な回避策として、ルール実行順序の変更を制限するカスタムルールを作成することを検討してください。

Q: CVE-2025-53105に関するGLPIの公式アドバイザリはどこで入手できますか？

GLPIの公式アドバイザリは、GLPIのウェブサイトで確認できます。https://glpi.net/security

プラットフォーム

php

コンポーネント

glpi

修正版

10.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-53105は、GLPI（Gestionnaire Libre de Parc Informatique）における権限昇格の脆弱性です。攻撃者は、管理者権限を持たないユーザーとしてシステムにログインし、ルール実行順序を不正に変更することで、本来アクセスできない機能やデータにアクセスできるようになる可能性があります。この脆弱性は、GLPIバージョン10.0.0から10.0.19に影響を与え、バージョン10.0.19で修正されました。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はGLPIシステム内の機密情報にアクセスしたり、システム設定を不正に変更したりする可能性があります。例えば、ユーザーアカウント情報を取得し、他のユーザーになりすましてシステムに侵入したり、ソフトウェアライセンス情報を盗み出して不正利用したりすることが考えられます。さらに、ルール実行順序の変更により、本来制限された機能が有効化され、システム全体のセキュリティが損なわれるリスクがあります。この脆弱性の影響範囲は、GLPIシステムを利用している組織全体に及ぶ可能性があります。

悪用の状況

この脆弱性は、CISA KEVカタログに登録されていません。現時点で、この脆弱性を悪用した公開されているPoCは確認されていませんが、GLPIの脆弱性は過去に悪用事例があるため、注意が必要です。NVD（National Vulnerability Database）は2025年8月27日にこの脆弱性を公開しました。

リスク対象者翻訳中…

Organizations heavily reliant on GLPI for IT asset management and service desk functionality are at significant risk. Specifically, deployments with a large number of users who do not have administrative privileges are particularly vulnerable, as these users represent the potential attack vector. Shared hosting environments where multiple users share a single GLPI instance also face increased risk.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'rule_execution_order' /var/www/html/glpi/

• generic web:

curl -I http://your-glpi-server/index.php?app=rules&module=rule_execution_order

攻撃タイムライン

2025-08-27Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.08% (23% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントglpi

ベンダーglpi-project

影響範囲修正版

>= 10.0.0, < 10.0.19 – >= 10.0.0, < 10.0.1910.0.1

弱点分類 (CWE)

CWE-269

タイムライン

予約済み2025-06-25
公開日2025-08-27
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、まずGLPIをバージョン10.0.19にアップデートすることを推奨します。アップデートが困難な場合は、一時的な回避策として、ルール実行順序の変更を制限するカスタムルールを作成することを検討してください。また、WAF（Web Application Firewall）を導入し、不正なルール実行順序の変更を試みる攻撃を検知・遮断することも有効です。GLPIのアクセスログを定期的に監視し、不審なアクティビティがないか確認することも重要です。アップデート後、GLPIのセキュリティ設定を確認し、不要な機能が無効化されていることを確認してください。

修正方法翻訳中…

Actualice GLPI a la versión 10.0.19 o superior. Esta versión contiene la corrección para la vulnerabilidad que permite a usuarios no autorizados cambiar el orden de ejecución de las reglas. La actualización se puede realizar a través del panel de administración de GLPI o descargando la última versión desde el sitio web oficial.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-53105 — 権限昇格 in GLPIとは何ですか？