CVE-2025-52567 是 GLPI 资产和 IT 管理软件中的服务器端请求伪造 (SSRF) 漏洞。该漏洞允许攻击者利用 RSS 订阅或外部日历功能访问 GLPI 服务器内部的资源,可能导致信息泄露或进一步的攻击。受影响的版本包括 GLPI 0.84 到 10.0.18。已发布 10.0.19 版本修复此问题。
攻击者可以利用此 SSRF 漏洞扫描内部网络,访问未公开的内部服务,甚至可能读取内部文件。由于 GLPI 通常用于管理 IT 资产和敏感数据,因此攻击者可能能够获取关于组织网络架构、配置和安全措施的重要信息。更严重的场景下,攻击者可能利用此漏洞作为跳板,进一步攻击内部系统。之前的安全补丁(GLPI 10.0.4 及更高版本)未能完全解决特定情况下的 SSRF 风险,因此需要升级到最新版本。
目前尚未公开发现针对此漏洞的利用代码,但由于 SSRF 漏洞的普遍性,存在被利用的风险。该漏洞已添加到 CISA KEV 目录,表明其具有中等概率被利用。建议密切关注安全社区的动态,并及时采取缓解措施。
Organizations heavily reliant on GLPI for asset and IT management, particularly those with complex internal networks and extensive use of RSS feeds or external calendar integrations for planning, are at increased risk. Shared hosting environments running GLPI are also vulnerable, as the attacker could potentially exploit the vulnerability through a compromised GLPI instance.
• php / server:
find /var/www/html/glpi -name 'index.php' -exec grep -i 'fetch_url' {} + | grep -i 'rss'• generic web:
curl -I https://your-glpi-server/index.php?rss_url=http://internal-resource.local• generic web:
curl -I https://your-glpi-server/app/planning/external_calendar.php?url=http://internal-resource.localdisclosure
漏洞利用状态
EPSS
0.03% (8% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 GLPI 升级到 10.0.19 或更高版本。如果升级会中断关键业务流程,可以考虑暂时禁用 RSS 订阅和外部日历功能。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以阻止对内部资源的未经授权的请求。审查 GLPI 的网络配置,确保其只能从受信任的网络访问,并限制其对外部资源的访问权限。升级后,请验证 RSS 订阅和外部日历功能是否正常工作,并检查 GLPI 日志中是否存在异常活动。
将 GLPI 更新到 10.0.19 或更高版本。此版本包含 SSRF 漏洞的修复程序。建议在更新之前进行备份。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-52567 是 GLPI 资产和 IT 管理软件中发现的服务器端请求伪造 (SSRF) 漏洞,影响 GLPI 0.84 到 10.0.18 版本。攻击者可以利用 RSS 订阅或外部日历功能访问内部资源。
如果您正在使用 GLPI 0.84 到 10.0.18 版本,则可能受到此漏洞的影响。请立即升级到 10.0.19 或更高版本。
升级到 GLPI 10.0.19 或更高版本是修复此漏洞的最佳方法。如果无法立即升级,请考虑禁用 RSS 订阅和外部日历功能。
目前尚未公开发现针对此漏洞的利用代码,但由于 SSRF 漏洞的普遍性,存在被利用的风险。
请访问 GLPI 官方安全公告页面:[https://glpi.net/security](https://glpi.net/security)