Skip to content
hacker_posts

GLPI 11.0.7 et 10.0.25 corrigent 13 CVE (CERTFR-2026-AVI-0675)

GLPI publie un cycle de patch couvrant 13 vulnérabilités dont 4 hautes, à l'origine de XSS stockés, suppressions arbitraires et contournements. Avis CERT-FR du 2 juin.

Publié le 4 min de lecture
cveglpialertecert-fr

Le CERT-FR a publié le 2 juin 2026 l'avis CERTFR-2026-AVI-0675 qui répercute le bulletin de sécurité de GLPI publiant les versions 11.0.7 et 10.0.25. Le cycle couvre 13 CVE — quatre hautes, deux moyennes, sept basses selon l'éditeur — incluant des XSS stockés dans la base de connaissances et le module des coûts ITIL, ainsi que des suppressions arbitraires d'objets et de fichiers exploitables par un utilisateur authentifié. Aucune exploitation active n'est mentionnée par le CERT-FR à la publication.

Périmètre concerné

L'avis cite deux fourchettes :

  • GLPI versions 11.0.x antérieures à 11.0.7
  • GLPI versions antérieures à 10.0.25 (branche 10.0)

Les deux branches reçoivent le correctif. Les détails par CVE sont publiés dans le dépôt GitHub du projet GLPI sous forme de security advisories (GHSA).

Vulnérabilités notables

  • CVE-2026-5385XSS stocké dans la base de connaissances : un utilisateur autorisé à publier un article peut injecter du script qui s'exécute dans le navigateur des lecteurs. Branche 11.0.
  • CVE-2026-40108XSS stocké dans les coûts ITIL (champs de coût des tickets et changements). Branche 11.0.
  • CVE-2026-42317Suppression arbitraire de fichiers par un compte technicien. Branches 10.0 et 11.0.
  • CVE-2026-42318Suppression arbitraire d'objets via le module de planification, par un utilisateur authentifié. Branches 10.0 et 11.0.
  • CVE-2026-42321 — entrée additionnelle du cycle, couverte par le bulletin GLPI et l'avis CERT-FR.

Le CERT-FR résume les effets globaux du lot par « atteinte à l'intégrité des données, injection de code indirecte à distance (XSS) et contournement de la politique de sécurité ».

Statut de l'exploitation

Aucun indicateur d'exploitation active n'est cité par le CERT-FR ni par le bulletin GLPI à la publication. Aucun PoC public n'est référencé dans l'avis. La majorité des CVE de la salve exigent un compte authentifié dans GLPI — typiquement un technicien, parfois un utilisateur final autorisé à publier dans la base de connaissances.

La courte chaîne « compte technicien → suppression arbitraire de fichiers » (CVE-2026-42317) constitue le risque le plus tangible pour une instance partagée entre plusieurs équipes : un compte de niveau intermédiaire suffit à effacer des pièces jointes liées à des tickets dont le technicien n'est pas propriétaire.

Que faire

  1. Mettre à jour vers 11.0.7 ou 10.0.25 selon la branche déployée. Les paquets sont disponibles via les canaux habituels (archive .tgz du projet, dépôts Debian/RPM communautaires, image conteneur officielle). Pour les déploiements Docker, repasser sur le tag de la version corrigée puis purger le cache.
  2. Auditer les rôles profitant du cycle de patch : Technicien, Super-administrateur, profils personnalisés ayant accès à la base de connaissances et au module de planification. Les CVE 42317 et 42318 sont déclenchables avec des permissions standards et laissent peu de traces.
  3. Vérifier les pièces jointes manquantes sur les tickets et changements depuis avril 2026 sur les instances retardées. Une suppression arbitraire passée inaperçue ne déclenche pas d'alerte applicative — la trace se trouve dans le journal d'audit GLPI (glpi_logs) ou dans les sauvegardes de files/.
  4. Désactiver l'édition de la base de connaissances par les profils non administrateurs si vous ne pouvez pas patcher immédiatement : c'est le vecteur le plus large pour CVE-2026-5385 et il vise tous les utilisateurs qui consultent un article piégé.
  5. Pour les hébergeurs mutualisés opérant GLPI pour plusieurs clients : forcer la mise à jour côté tenant et journaliser la version effective de chaque instance après bascule.

Contexte

C'est la deuxième salve CERT-FR sur GLPI en moins de deux semaines : l'avis CERTFR-2026-AVI-0551 du 19 mai documentait sept entrées, dont des SSRF et des XSS dans la branche 11.0. La salve d'aujourd'hui en ajoute treize. GLPI reste un produit central dans les administrations françaises et chez beaucoup d'opérateurs de services essentiels : il concentre l'inventaire, les tickets, la planification et les pièces jointes opérationnelles — ce qui en fait, par ricochet, un actif sensible au sens NIS2.

La cadence rapide des CVE GLPI sur 2026 — quatre cycles de correctifs en six mois — n'est pas la marque d'un produit en perdition mais d'un audit interne actif, complété par un programme de divulgation public. Le calendrier de patch trimestriel suffisait il y a deux ans ; un suivi mensuel devient nécessaire pour les opérateurs qui exposent GLPI à l'internet via un reverse proxy authentifié.

Articles liés