{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"GLPI versions 9.5.x ant\u00e9rieures \u00e0 9.5.9","product":{"name":"GLPI","vendor":{"name":"GLPI","scada":false}}},{"description":"GLPI versions 10.0.x versions ant\u00e9rieures \u00e0 10.0.3","product":{"name":"GLPI","vendor":{"name":"GLPI","scada":false}}}],"affected_systems_content":"","closed_at":"2023-03-14","content":"## Contournement provisoire\n\nS'il n'est pas possible de d\u00e9ployer le correctif rapidement, il est\nfortement recommand\u00e9 :\n\n-   de d\u00e9sactiver l\u2019option *Enable login with external token* dans le\n    menu de configuration de l\u2019API ;\n-   de supprimer le fichier */vendor/htmlawed/htmlawed/htmLawedTest.php*\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2022-35947","url":"https://www.cve.org/CVERecord?id=CVE-2022-35947"},{"name":"CVE-2022-35914","url":"https://www.cve.org/CVERecord?id=CVE-2022-35914"}],"links":[{"title":"[2] Bons r\u00e9flexes en cas d'intrusion sur votre syst\u00e8me d'information","url":"https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"},{"title":"[1] Guide ANSSI pour la s\u00e9curisation des services expos\u00e9s sur Internet","url":"https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/"},{"title":"Bulletin d'actualit\u00e9 CERTFR-2022-ACT-041 du 20 septembre 2022","url":"https://www.cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-041/"}],"reference":"CERTFR-2022-ALE-010","revisions":[{"description":"Version initiale","revision_date":"2022-10-07T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2023-03-14T00:00:00.000000"}],"risks":[{"description":"Contournement de la politique de s\u00e9curit\u00e9"},{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Le 14 septembre 2022, l'\u00e9diteur de GLPI (Gestionnaire Libre de Parc\nInformatique) a d\u00e9clar\u00e9 plusieurs vuln\u00e9rabilit\u00e9s sur le produit, dont\ndeux critiques. Elles permettent \u00e0 un attaquant de provoquer une\nex\u00e9cution de code arbitraire \u00e0 distance et un contournement de la\npolitique de s\u00e9curit\u00e9.\n\nLa vuln\u00e9rabilit\u00e9 r\u00e9f\u00e9renc\u00e9e par l'identifiant CVE-2022-35914 affecte\nbiblioth\u00e8que tierce - *htmLawed* - qui est embarqu\u00e9e par GLPI. Elle est\ndue \u00e0 la pr\u00e9sence d\u2019un fichier de test *htmLawedTest.php* et permet \u00e0 un\nattaquant non authentifi\u00e9 d\u2019ex\u00e9cuter du code arbitraire \u00e0 distance.\n\nLa seconde vuln\u00e9rabilit\u00e9 immatricul\u00e9e CVE-2022-35947 permet \u00e0 un\nattaquant de r\u00e9aliser une injection SQL afin d'obtenir une connexion\navec n\u2019importe quel utilisateur ayant au pr\u00e9alable d\u00e9fini une cl\u00e9 API.\n\nLe CERT-FR a publi\u00e9 un bulletin d'actualit\u00e9 le 20 septembre 2022 afin de\nsignaler l'existence de ces vuln\u00e9rabilit\u00e9s.\n\n<span style=\"color: #ff0000;\"><strong>Le CERT-FR a connaissance de nombreux\nincidents li\u00e9s \u00e0 l'exploitation de la vuln\u00e9rabilit\u00e9 immatricul\u00e9e\nCVE-2022-35914.</strong></span>\n\n## <strong>D\u00c9TECTION</strong>\n\nIl est recommand\u00e9 d'effectuer une v\u00e9rification des journaux \u00e0 la\nrecherche de tentatives d'acc\u00e8s aux ressources suivantes :\n\n-   */vendor/htmlawed/htmlawed/htmLawedTest.php*\n-   */vendor/htmlawed/htmlawed/404.php*\n-   */vendor/*\n\nPar ailleurs, des requ\u00eates vers les ressources suivantes peuvent \u00eatre en\nlien avec l\u2019attaque et doivent donc faire l'objet d'une attention\nparticuli\u00e8re :\n\n-   */redistest.php*\n-   */css/Arui.php*\n-   */css/legacy/Arui.php*\n-   */css/legacy/Arui1.php*\n\nSi ces requ\u00eates sont observ\u00e9es, il sera alors n\u00e9cessaire d'effectuer une\nv\u00e9rification suppl\u00e9mentaire \u00e0 la recherche de fichiers malveillants\n\u00e9ventuellement d\u00e9pos\u00e9s par un attaquant pour lui permettre de maintenir\nun acc\u00e8s au syst\u00e8me compromis.\n\nLe CERT-FR tient \u00e0 rappeler plusieurs points importants :\n\n-   Les produits tels que GLPI ne devraient pas \u00eatre expos\u00e9s sur\n    Internet.\n-   En cas d'obligation d'acc\u00e8s depuis l'ext\u00e9rieur, des mesures de\n    s\u00e9curit\u00e9 doivent \u00eatre mises en \u0153uvre \\[1\\].\n-   Dans tous les cas, le dossier */vendor/* qui contient les\n    biblioth\u00e8ques tierces ne devrait pas \u00eatre publiquement accessible\n    depuis Internet. Un tel dossier doit \u00eatre d\u00e9plac\u00e9 en dehors de la\n    racine du serveur Web de fa\u00e7on \u00e0 pr\u00e9venir tout acc\u00e8s par adressage\n    direct aux fichiers pr\u00e9sents dans ce dossier. Il n'existe aucune\n    raison l\u00e9gitime qui justifierait qu'un visiteur puisse avoir acc\u00e8s \u00e0\n    ce type de dossier.\n-   Enfin, des restrictions d'acc\u00e8s direct sur le dossier */vendor/*\n    doivent-\u00eatre mises en place par le biais des configurations sur le\n    serveur Web.\n\nEn cas de suspicion de compromission, il est recommand\u00e9 de consulter les\n[bons r\u00e9flexes en cas d'intrusion sur votre syst\u00e8me\nd'information](/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/)\n\\[2\\].\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans GLPI","vendor_advisories":[{"published_at":"2022-09-14","title":"Bulletin de s\u00e9curit\u00e9 GLPI","url":"https://github.com/glpi-project/glpi/security/advisories"}]}