Plataforma
php
Componente
glpi
Corrigido em
0.60.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no GLPI, um software de gerenciamento de ativos e TI. Essa falha permite que um usuário técnico autenticado armazene um payload XSS no campo de fornecedor, potencialmente comprometendo a segurança do sistema. A vulnerabilidade afeta as versões do GLPI entre 0.60 e 10.0.24 (exclusiva) e foi corrigida na versão 10.0.24.
Um atacante pode explorar essa vulnerabilidade para injetar scripts maliciosos no GLPI, que serão executados no navegador de outros usuários autenticados. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou até mesmo à execução de código arbitrário no servidor, dependendo das permissões do usuário autenticado. O impacto é amplificado em ambientes onde o GLPI é usado para gerenciar informações sensíveis, como dados de ativos de TI ou informações de usuários.
A vulnerabilidade foi divulgada em 2026-04-06. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV. A probabilidade de exploração é considerada baixa a média, dependendo da prevalência do GLPI em ambientes vulneráveis e da disponibilidade de exploits públicos. Verifique as fontes oficiais do GLPI para atualizações e informações adicionais.
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o GLPI para a versão 10.0.24 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação e sanitização rigorosas de todos os dados inseridos pelos usuários, especialmente no campo de fornecedor. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS também pode ajudar a reduzir o risco. Após a atualização, confirme a correção verificando se o campo de fornecedor não permite mais a injeção de scripts maliciosos.
Actualice GLPI a la versión 10.0.24 o superior para mitigar la vulnerabilidad de XSS. Esta actualización corrige el problema al sanear correctamente la entrada del usuario en el campo 'Sitio web del proveedor', evitando la ejecución de código malicioso.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) is a type of security vulnerability that allows attackers to inject malicious scripts into websites viewed by other users. These scripts can steal information, redirect users to malicious websites, or modify the website's appearance.
If you are using a version of GLPI prior to 10.0.24, your installation is vulnerable. Check your GLPI version on the system's administration page.
Immediately upgrade to version 10.0.24 or later. Review GLPI logs for suspicious activity and consider changing all user passwords.
If immediate upgrading is not possible, implement strict user input validation and consider applying Content Security Policy (CSP).
You can find more information about this vulnerability on vulnerability databases such as the National Vulnerability Database (NVD) or the GLPI website.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.