Platform
php
Component
glpi
Opgelost in
0.60.1
CVE-2026-25932 beschrijft een Cross-Site Scripting (XSS) kwetsbaarheid in GLPI, een Free Asset en IT Management Software pakket. Deze kwetsbaarheid stelt een geauthenticeerde gebruiker in staat om een schadelijke payload op te slaan in de leveranciersvelden. Dit kan leiden tot de uitvoering van kwaadaardige scripts in de browser van andere gebruikers. De kwetsbaarheid treft GLPI versies van 0.60 tot en met < 10.0.24, en is verholpen in versie 10.0.24.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan een aanvaller in staat stellen om willekeurige JavaScript-code uit te voeren in de context van de browser van een andere GLPI-gebruiker. Dit kan leiden tot verschillende schadelijke acties, zoals het stelen van sessiecookies, het omleiden van gebruikers naar kwaadaardige websites, of het wijzigen van de weergave van de GLPI-interface. De impact is aanzienlijk, vooral omdat GLPI vaak wordt gebruikt voor het beheren van kritieke IT-assets en -informatie. Een aanvaller kan deze kwetsbaarheid misbruiken om toegang te krijgen tot gevoelige gegevens en de controle over het GLPI-systeem te verkrijgen.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen meldingen van actieve exploitatie in de wild, maar de lage complexiteit van de exploitatie maakt het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is gepubliceerd op 2026-04-06. Er zijn geen bekende KEV-listings op het moment van schrijven.
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van GLPI naar versie 10.0.24 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegang tot de leveranciersvelden en het valideren van de invoer. Implementeer een Content Security Policy (CSP) om de uitvoering van inline scripts te beperken. Controleer de GLPI-logboeken op verdachte activiteiten, zoals ongebruikelijke JavaScript-aanroepen. Na de upgrade, verifieer de fix door een geauthenticeerde gebruiker te laten proberen een XSS-payload op te slaan in een leveranciersveld en te controleren of de payload niet wordt uitgevoerd.
Actualice GLPI a la versión 10.0.24 o superior para mitigar la vulnerabilidad de XSS. Esta actualización corrige el problema al sanear correctamente la entrada del usuario en el campo 'Sitio web del proveedor', evitando la ejecución de código malicioso.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is a type of security vulnerability that allows attackers to inject malicious scripts into websites viewed by other users. These scripts can steal information, redirect users to malicious websites, or modify the website's appearance.
If you are using a version of GLPI prior to 10.0.24, your installation is vulnerable. Check your GLPI version on the system's administration page.
Immediately upgrade to version 10.0.24 or later. Review GLPI logs for suspicious activity and consider changing all user passwords.
If immediate upgrading is not possible, implement strict user input validation and consider applying Content Security Policy (CSP).
You can find more information about this vulnerability on vulnerability databases such as the National Vulnerability Database (NVD) or the GLPI website.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.