Platform
php
Component
glpi-inventory-plugin
Opgelost in
1.5.1
CVE-2025-27147 beschrijft een improper access control kwetsbaarheid in de GLPI Inventory plugin. Deze kwetsbaarheid stelt een aanvaller in staat ongeautoriseerde toegang te verkrijgen tot gevoelige informatie en potentieel schadelijke acties uit te voeren binnen het GLPI-systeem. De kwetsbaarheid treft versies van de plugin die kleiner of gelijk zijn aan 1.5.0. Een patch is beschikbaar in versie 1.5.0.
Deze improper access control kwetsbaarheid in de GLPI Inventory plugin kan ernstige gevolgen hebben. Een succesvolle exploitatie kan een aanvaller in staat stellen om gevoelige informatie te stelen, zoals netwerkconfiguraties, softwareinventaris en VMWare ESX host data. Daarnaast kan de aanvaller mogelijk ongeautoriseerde acties uitvoeren, zoals software deployment of het manipuleren van inventarisgegevens. De impact is vergelijkbaar met scenario's waarin een gebruiker met beperkte rechten toegang krijgt tot functies die voor hen niet bedoeld zijn, wat kan leiden tot data-integriteitsproblemen en beveiligingsinbreuken. De blast radius is afhankelijk van de configuratie van GLPI en de privileges van de gebruiker die de exploitatie uitvoert.
Op het moment van publicatie (2025-03-25) is er geen informatie beschikbaar over actieve exploitatiecampagnes gericht op CVE-2025-27147. Er zijn ook geen publieke proof-of-concept exploits bekend. De KEV-status is momenteel onbekend. De CVSS-score van 8.2 (HIGH) duidt op een potentieel significant risico, en het is aan te raden om de kwetsbaarheid zo snel mogelijk te patchen.
Organizations utilizing GLPI for IT asset management and specifically deploying the Inventory Plugin are at risk. This includes environments with multiple user roles and granular access controls, as the vulnerability could be exploited to escalate privileges and gain unauthorized access to sensitive inventory data. Shared hosting environments running GLPI are also particularly vulnerable, as they may have limited control over plugin updates and security configurations.
• php: Examine GLPI plugin files for insecure access control checks. Search for instances where user authentication or authorization is bypassed.
grep -r 'user_id' /path/to/glpi/plugins/inventory/ • generic web: Monitor GLPI access logs for unusual activity, such as requests to plugin endpoints from unauthorized IP addresses or user accounts.
grep "Unauthorized" /var/log/apache2/access.log | grep /plugins/inventory/ disclosure
Exploit Status
EPSS
0.20% (41% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-27147 is het upgraden van de GLPI Inventory plugin naar versie 1.5.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de plugin-functionaliteit via GLPI's toegangscontrolemechanismen. Implementeer strikte toegangscontroles en authenticatieprocedures binnen GLPI om ongeautoriseerde toegang te voorkomen. Controleer de configuratie van de plugin en zorg ervoor dat er geen onnodige functionaliteit is ingeschakeld. Na de upgrade, verifieer de correcte werking van de plugin en de toegangscontroles door te proberen toegang te krijgen tot functies met een account dat geen beheerder is.
Actualice el plugin GLPI Inventory a la versión 1.5.0 o superior. Esta versión contiene la corrección para la vulnerabilidad de control de acceso inadecuado. La actualización se puede realizar a través del panel de administración de GLPI o descargando la nueva versión desde el sitio web oficial del plugin.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-27147 is a HIGH severity access control vulnerability affecting GLPI Inventory Plugin versions prior to 1.5.0, allowing unauthorized access to sensitive inventory data.
You are affected if you are using GLPI Inventory Plugin versions earlier than 1.5.0. Check your plugin version and upgrade immediately if necessary.
Upgrade the GLPI Inventory Plugin to version 1.5.0 or later to resolve this vulnerability. Implement stricter access controls within GLPI as a temporary measure.
As of the current disclosure date, there is no confirmed active exploitation, but the vulnerability's nature suggests potential for exploitation.
Refer to the official GLPI security advisories on the GLPI website for the latest information and updates regarding CVE-2025-27147.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.