プラットフォーム
php
コンポーネント
glpi
修正版
0.60.1
CVE-2026-25932は、GLPI Asset and IT Management Softwareにおけるクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性により、認証された技術者ユーザーはサプライヤーフィールドに悪意のあるスクリプトを挿入し、他のユーザーに影響を与える可能性があります。影響を受けるバージョンはGLPI 0.60から10.0.24未満です。バージョン10.0.24へのアップデートでこの問題は修正されています。
このXSS脆弱性は、攻撃者が悪意のあるスクリプトをGLPIシステムに注入することを可能にします。成功した場合、攻撃者はユーザーのブラウザ内で任意のJavaScriptコードを実行し、セッションCookieを盗み、ユーザーを悪意のあるWebサイトにリダイレクトしたり、GLPIインターフェースを改ざんしたりする可能性があります。これにより、機密情報の漏洩、アカウントの乗っ取り、さらにはシステム全体の制御喪失につながる可能性があります。この脆弱性は、特にサプライヤー情報を頻繁に操作する組織にとって重大なリスクとなります。
この脆弱性は、2026年4月6日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、迅速な対応が必要です。CISA KEVカタログへの登録状況は不明です。
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最良の対応策は、GLPIをバージョン10.0.24以降にアップデートすることです。アップデートがすぐに利用できない場合、サプライヤーフィールドへの入力の検証を強化し、XSS攻撃を防ぐための入力サニタイズを実装することを検討してください。Webアプリケーションファイアウォール(WAF)を使用して、XSS攻撃を検出し、ブロックすることも有効です。アップデート後、GLPIのログを監視し、異常なアクティビティがないか確認してください。
Actualice GLPI a la versión 10.0.24 o superior para mitigar la vulnerabilidad de XSS. Esta actualización corrige el problema al sanear correctamente la entrada del usuario en el campo 'Sitio web del proveedor', evitando la ejecución de código malicioso.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-25932は、GLPI Asset and IT Management Softwareのバージョン0.60から10.0.24未満におけるクロスサイトスクリプティング(XSS)脆弱性です。認証された技術者ユーザーがサプライヤーフィールドに悪意のあるスクリプトを挿入できる可能性があります。
はい、影響があります。攻撃者はこの脆弱性を悪用して、ユーザーのブラウザ内で任意のJavaScriptコードを実行し、セッションCookieを盗んだり、GLPIインターフェースを改ざんしたりする可能性があります。
GLPIをバージョン10.0.24以降にアップデートしてください。アップデートがすぐに利用できない場合は、サプライヤーフィールドへの入力の検証を強化し、WAFを使用してXSS攻撃をブロックすることを検討してください。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、迅速な対応が必要です。
GLPIの公式アドバイザリは、GLPIのWebサイトで確認できます。具体的なURLは、GLPIのセキュリティアドバイザリページを参照してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。