CRITICAL🇬🇧 English

CVE-2026-26026

GLPI: Template Injection prowadzący do RCE przez konto administratora

CVSS 9.1v3.1pub. 2026-04-06upd. 2026-04-07

W systemie GLPI (wolne oprogramowanie do zarządzania zasobami IT) w wersjach od 11.0.0 do przed 11.0.6 istnieje podatność na wstrzyknięcie szablonu (template injection), która pozwala administratorowi na zdalne wykonanie kodu (RCE). Mimo że atak wymaga uprawnień administratora, zasięg podatności wykracza poza system bazowy (Scope: Changed), co czyni ją krytyczną.

Pokaż oryginał (EN)

GLPI is a free asset and IT management software package. From 11.0.0 to before 11.0.6, template injection by an administrator lead to RCE. This vulnerability is fixed in 11.0.6.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-94 (Code Injection) oraz CWE-1336 (Improper Neutralization of Special Elements Used in a Template Engine) polega na tym, że mechanizm szablonów w GLPI nie neutralizuje prawidłowo złośliwych danych wejściowych dostarczanych przez administratora. Atakujący z uprawnieniami administracyjnymi może wstrzyknąć specjalnie spreparowane wyrażenia do silnika szablonów, które zostaną wykonane po stronie serwera jako kod. Prowadzi to do pełnego, zdalnego wykonania kodu (RCE) na serwerze hostującym aplikację.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem — odczytać, zmodyfikować lub usunąć dane, uruchomić dowolny kod oraz potencjalnie poruszyć się lateralnie (lateral movement) w sieci wewnętrznej. Ze względu na wysoki wpływ na poufność, integralność i dostępność (C:H/I:H/A:H) oraz zmieniony zasięg (S:C), konsekwencje mogą wykraczać poza samą instancję GLPI.

Mitygacja

Należy pilnie zaktualizować GLPI do wersji 11.0.6, w której podatność została naprawiona. Jeśli aktualizacja nie jest natychmiast możliwa, zaleca się ograniczenie dostępu do interfejsu administracyjnego wyłącznie do zaufanych sieci oraz zastosowanie dodatkowych mechanizmów kontroli dostępu (np. VPN, firewall).

Kogo dotyczy

GLPI w wersjach od 11.0.0 do 11.0.5 (przed 11.0.6) projektu Glpi-Project.

Uwagi

Podatność dotyczy wyłącznie kont z uprawnieniami administratora (PR:H), co ogranicza powierzchnię ataku, jednak nie zmniejsza krytyczności skutków w przypadku przejęcia lub nadużycia konta administracyjnego. Szczegóły techniczne dostępne w GitHub Security Advisory: GHSA-2c98-648q-h27h.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Glpi Project Glpi

    APP
    Glpi-Project
    11.0.0 – 11.0.6 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2022-35914CRITICAL9.8⚠ KEVten sam produkt

/vendor/htmlawed/htmlawed/htmLawedTest.php in the htmlawed module for GLPI through 10.0.2 allows PHP code inje...

CVE-2024-50339CRITICAL9.3PL ✓ten sam produkt

GLPI: Kradzież sesji przez nieuauthoryzowany dostęp do identyfikatorów sesji

CVE-2023-42802CRITICAL10.0ten sam produkt

GLPI is a free asset and IT management software package. Starting in version 10.0.7 and prior to version 10.0....

CVE-2023-28838CRITICAL9.6ten sam produkt

GLPI is a free asset and IT management software package. Starting in version 0.50 and prior to versions 9.5.13...

CVE-2023-28849CRITICAL10.0ten sam produkt

GLPI is a free asset and IT management software package. Starting in version 10.0.0 and prior to version 10.0....

CVE-2026-26026 — GLPI: Template Injection prowadzący do RCE przez konto administratora — CRITICAL 9.1 | CVEbaza.pl