Le 14 septembre 2022, l'éditeur de GLPI (Gestionnaire Libre de Parc Informatique) a déclaré plusieurs vulnérabilités sur le produit, dont deux critiques. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité. La vulnérabilité référencée par l'identifiant CVE-2022-35914 affecte bibliothèque tierce - *htmLawed* - qui est embarquée par GLPI. Elle est due à la présence d’un fichier de test *htmLawedTest.php* et permet à un attaquant non authentifié d’exécuter du code arbitraire à distance. La seconde vulnérabilité immatriculée CVE-2022-35947 permet à un attaquant de réaliser une injection SQL afin d'obtenir une connexion avec n’importe quel utilisateur ayant au préalable défini une clé API. Le CERT-FR a publié un bulletin d'actualité le 20 septembre 2022 afin de signaler l'existence de ces vulnérabilités. <span style="color: #ff0000;"><strong>Le CERT-FR a connaissance de nombreux incidents liés à l'exploitation de la vulnérabilité immatriculée CVE-2022-35914.</strong></span> ## <strong>DÉTECTION</strong> Il est recommandé d'effectuer une vérification des journaux à la recherche de tentatives d'accès aux ressources suivantes : - */vendor/htmlawed/htmlawed/htmLawedTest.php* - */vendor/htmlawed/htmlawed/404.php* - */vendor/* Par ailleurs, des requêtes vers les ressources suivantes peuvent être en lien avec l’attaque et doivent donc faire l'objet d'une attention particulière : - */redistest.php* - */css/Arui.php* - */css/legacy/Arui.php* - */css/legacy/Arui1.php* Si ces requêtes sont observées, il sera alors nécessaire d'effectuer une vérification supplémentaire à la recherche de fichiers malveillants éventuellement déposés par un attaquant pour lui permettre de maintenir un accès au système compromis. Le CERT-FR tient à rappeler plusieurs points importants : - Les produits tels que GLPI ne devraient pas être exposés sur Internet. - En cas d'obligation d'accès depuis l'extérieur, des mesures de sécurité doivent être mises en œuvre \[1\]. - Dans tous les cas, le dossier */vendor/* qui contient les bibliothèques tierces ne devrait pas être publiquement accessible depuis Internet. Un tel dossier doit être déplacé en dehors de la racine du serveur Web de façon à prévenir tout accès par adressage direct aux fichiers présents dans ce dossier. Il n'existe aucune raison légitime qui justifierait qu'un visiteur puisse avoir accès à ce type de dossier. - Enfin, des restrictions d'accès direct sur le dossier */vendor/* doivent-être mises en place par le biais des configurations sur le serveur Web. En cas de suspicion de compromission, il est recommandé de consulter les [bons réflexes en cas d'intrusion sur votre système d'information](/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/) \[2\].
EPSS 0.38% · 59.4th percentile
| Vendor | Product | Versions |
|---|---|---|
| GLPI | GLPI |