Académique Documents
Professionnel Documents
Culture Documents
Gestion du document
Référence CERTFR-2022-ALE-010
Titre Multiples vulnérabilités dans GLPI
Date de la première version 07 octobre 2022
Date de la dernière version 07 octobre 2022
Source(s) Bulletin de sécurité GLPI du 14 septembre 2022
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document
Risque(s)
Exécution de code arbitraire à distance
Contournement de la politique de sécurité
Systèmes affectés
GLPI versions 9.5.x antérieures à 9.5.9
GLPI versions 10.0.x versions antérieures à 10.0.3
Résumé
DÉTECTION
Il est recommandé d'effectuer une vérification des journaux à la recherche de tentatives d'accès
aux ressources suivantes :
/vendor/htmlawed/htmlawed/htmLawedTest.php
/vendor/htmlawed/htmlawed/404.php
/vendor/
Par ailleurs, des requêtes vers les ressources suivantes peuvent être en lien avec l’attaque et
doivent donc faire l'objet d'une attention particulière :
/redistest.php
/css/Arui.php
/css/legacy/Arui.php
/css/legacy/Arui1.php
Si ces requêtes sont observées, il sera alors nécessaire d'effectuer une vérification
supplémentaire à la recherche de fichiers malveillants éventuellement déposés par un attaquant
pour lui permettre de maintenir un accès au système compromis.
Les produits tels que GLPI ne devraient pas être exposés sur Internet.
En cas d'obligation d'accès depuis l'extérieur, des mesures de sécurité doivent être mises
en œuvre [1].
Dans tous les cas, le dossier /vendor/ qui contient les bibliothèques tierces ne devrait pas
être publiquement accessible depuis Internet. Un tel dossier doit être déplacé en dehors de
la racine du serveur Web de façon à prévenir tout accès par adressage direct aux fichiers
présents dans ce dossier. Il n'existe aucune raison légitime qui justifierait qu'un visiteur
puisse avoir accès à ce type de dossier.
Enfin, des restrictions d'accès direct sur le dossier /vendor/ doivent-être mises en place par
Page 2 / 3
le biais des configurations sur le serveur Web.
En cas de suspicion de compromission, il est recommandé de consulter les bons réflexes en cas d'intrusion sur
votre système d'information [2].
Contournement provisoire
S'il n'est pas possible de déployer le correctif rapidement, il est fortement recommandé :
de désactiver l’option Enable login with external token dans le menu de configuration de
l’API ;
de supprimer le fichier /vendor/htmlawed/htmlawed/htmLawedTest.php
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section
Documentation).
Documentation
Page 3 / 3