PREMIER MINISTRE

S.G.D.S.N Paris, le 07 octobre 2022

Agence nationale N° CERTFR-2022-ALE-010
de la sécurité des
systèmes d'information

Affaire suivie par: CERT-FR

BULLETIN D'ALERTE DU CERT-FR

Objet: Multiples vulnérabilités dans GLPI

Gestion du document

Référence CERTFR-2022-ALE-010
Titre Multiples vulnérabilités dans GLPI
Date de la première version 07 octobre 2022
Date de la dernière version 07 octobre 2022
Source(s) Bulletin de sécurité GLPI du 14 septembre 2022
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)
Exécution de code arbitraire à distance
Contournement de la politique de sécurité

Systèmes affectés
GLPI versions 9.5.x antérieures à 9.5.9
GLPI versions 10.0.x versions antérieures à 10.0.3

Résumé

Secrétariat général de la défense et de la sécurité nationale – ANSSI – CERT-FR

51, bd de La Tour-Maubourg Tél.: +33 1 71 75 84 68 Web: https://www.cert.ssi.gouv.fr
75700 Paris 07 SP Fax: +33 1 84 82 40 70 Mél: cert-fr.cossi@ssi.gouv.fr
Le 14 septembre 2022, l'éditeur de GLPI (Gestionnaire Libre de Parc Informatique) a déclaré
plusieurs vulnérabilités sur le produit, dont deux critiques. Elles permettent à un attaquant de
provoquer une exécution de code arbitraire à distance et un contournement de la politique de
sécurité.

La vulnérabilité référencée par l'identifiant CVE-2022-35914 affecte bibliothèque tierce -

htmLawed - qui est embarquée par GLPI. Elle est due à la présence d’un fichier de test
htmLawedTest.php et permet à un attaquant non authentifié d’exécuter du code arbitraire à
distance.

La seconde vulnérabilité immatriculée CVE-2022-35947 permet à un attaquant de réaliser une

injection SQL afin d'obtenir une connexion avec n’importe quel utilisateur ayant au préalable
défini une clé API.

Le CERT-FR a publié un bulletin d'actualité le 20 septembre 2022 afin de signaler l'existence de

ces vulnérabilités.

Le CERT-FR a connaissance de nombreux incidents liés à l'exploitation de la vulnérabilité

immatriculée CVE-2022-35914.

DÉTECTION
Il est recommandé d'effectuer une vérification des journaux à la recherche de tentatives d'accès
aux ressources suivantes :

/vendor/htmlawed/htmlawed/htmLawedTest.php
/vendor/htmlawed/htmlawed/404.php
/vendor/

Par ailleurs, des requêtes vers les ressources suivantes peuvent être en lien avec l’attaque et
doivent donc faire l'objet d'une attention particulière :

/redistest.php
/css/Arui.php
/css/legacy/Arui.php
/css/legacy/Arui1.php

Si ces requêtes sont observées, il sera alors nécessaire d'effectuer une vérification
supplémentaire à la recherche de fichiers malveillants éventuellement déposés par un attaquant
pour lui permettre de maintenir un accès au système compromis.

Le CERT-FR tient à rappeler plusieurs points importants :

Les produits tels que GLPI ne devraient pas être exposés sur Internet.
En cas d'obligation d'accès depuis l'extérieur, des mesures de sécurité doivent être mises
en œuvre [1].
Dans tous les cas, le dossier /vendor/ qui contient les bibliothèques tierces ne devrait pas
être publiquement accessible depuis Internet. Un tel dossier doit être déplacé en dehors de
la racine du serveur Web de façon à prévenir tout accès par adressage direct aux fichiers
présents dans ce dossier. Il n'existe aucune raison légitime qui justifierait qu'un visiteur
puisse avoir accès à ce type de dossier.
Enfin, des restrictions d'accès direct sur le dossier /vendor/ doivent-être mises en place par

Page 2 / 3
 le biais des configurations sur le serveur Web.

En cas de suspicion de compromission, il est recommandé de consulter les bons réflexes en cas d'intrusion sur
votre système d'information [2].

Contournement provisoire
S'il n'est pas possible de déployer le correctif rapidement, il est fortement recommandé :

de désactiver l’option Enable login with external token dans le menu de configuration de
l’API ;
de supprimer le fichier /vendor/htmlawed/htmlawed/htmLawedTest.php

Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section
Documentation).

Documentation

Bulletin de sécurité GLPI du 14 septembre 2022

https://github.com/glpi-project/glpi/security/advisories
Bulletin d'actualité CERTFR-2022-ACT-041 du 20 septembre 2022
https://www.cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-041/
Référence CVE CVE-2022-35914
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35914
Référence CVE CVE-2022-35947
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35947
[1] Guide ANSSI pour la sécurisation des services exposés sur Internet
https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/
[2] Bons réflexes en cas d'intrusion sur votre système d'information
https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/

Gestion détaillée du document

le 07 octobre 2022
Version initiale

Conditions d’utilisation de ce document : https://www.cert.ssi.gouv.fr

Dernière version de ce document : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-010/

Page 3 / 3