Résumé
De multiples vulnérabilités ont été découvertes dans GLPI, un logiciel open source conçu pour aider les entreprises à gérer leur parc informatique. Ces failles permettent à un attaquant de compromettre la confidentialité et l’intégrité des données, de contourner la politique de sécurité, et de réaliser des attaques de falsification de requêtes côté serveur (SSRF) ainsi que des injections de code à distance (XSS).
Solutions
Mettre à jour GLPI vers la version 10.0.19 ou ultérieure, qui corrige ces vulnérabilités.
La faille est activement exploitée : Oui
Details techniques
Risques :
Atteinte à l’intégrité des données
Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Falsification de requêtes côté serveur (SSRF)
Injection de code indirecte à distance (XSS)
Systèmes affectés
- GLPI versions antérieures à 10.0.19
Documentation
- Bulletin de sécurité GLPI GHSA-52h8-76ph-4j9q du 29 juillet 2025
https://github.com/glpi-project/glpi/security/advisories/GHSA-52h8-76ph-4j9q
- Bulletin de sécurité GLPI GHSA-5mp6-mgmh-vrq7 du 29 juillet 2025
https://github.com/glpi-project/glpi/security/advisories/GHSA-5mp6-mgmh-vrq7
- Bulletin de sécurité GLPI GHSA-6whm-q2rp-prqm du 29 juillet 2025
https://github.com/glpi-project/glpi/security/advisories/GHSA-6whm-q2rp-prqm
- Bulletin de sécurité GLPI GHSA-jh8j-gqxc-6gqj du 29 juillet 2025
https://github.com/glpi-project/glpi/security/advisories/GHSA-jh8j-gqxc-6gqj
- Bulletin de sécurité GLPI GHSA-p665-mqcr-j96j du 29 juillet 2025
https://github.com/glpi-project/glpi/security/advisories/GHSA-p665-mqcr-j96j
- Bulletin de sécurité GLPI GHSA-r2mm-6499-4m8j du 29 juillet 2025
https://github.com/glpi-project/glpi/security/advisories/GHSA-r2mm-6499-4m8j
- Bulletin de sécurité GLPI GHSA-rp7w-6343-3m2r du 29 juillet 2025
https://github.com/glpi-project/glpi/security/advisories/GHSA-rp7w-6343-3m2r
- Bulletin de sécurité GLPI GHSA-x9mj-822q-6cf8 du 29 juillet 2025
https://github.com/glpi-project/glpi/security/advisories/GHSA-x9mj-822q-6cf8
- Référence CVE CVE-2025-27514
https://www.cve.org/CVERecord?id=CVE-2025-27514
- Référence CVE CVE-2025-52567
https://www.cve.org/CVERecord?id=CVE-2025-52567
- Référence CVE CVE-2025-52897
https://www.cve.org/CVERecord?id=CVE-2025-52897
- Référence CVE CVE-2025-53008
https://www.cve.org/CVERecord?id=CVE-2025-53008
- Référence CVE CVE-2025-53111
https://www.cve.org/CVERecord?id=CVE-2025-53111
- Référence CVE CVE-2025-53112
https://www.cve.org/CVERecord?id=CVE-2025-53112
- Référence CVE CVE-2025-53113
https://www.cve.org/CVERecord?id=CVE-2025-53113
- Référence CVE CVE-2025-53357
https://www.cve.org/CVERecord?id=CVE-2025-53357