Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 19 mars 2025

N° CERTFR-2025-AVI-0219

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans GLPI

Gestion du document

Référence	CERTFR-2025-AVI-0219
Titre	Multiples vulnérabilités dans GLPI
Date de la première version	19 mars 2025
Date de la dernière version	19 mars 2025
Source(s)	Bulletin de sécurité GLPI GHSA-g2p3-33ff-r555 du 18 mars 2025 Bulletin de sécurité GLPI GHSA-jv89-g7f7-jwfg du 18 mars 2025 Bulletin de sécurité GLPI GHSA-pcmc-xv3g-hjxv du 18 mars 2025

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

Contournement de la politique de sécurité
Exécution de code arbitraire à distance

Systèmes affectés

GLPI versions antérieures à 10.0.18

Résumé

De multiples vulnérabilités ont été découvertes dans GLPI. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité GLPI GHSA-g2p3-33ff-r555 du 18 mars 2025

https://github.com/glpi-project/glpi/security/advisories/GHSA-g2p3-33ff-r555

Bulletin de sécurité GLPI GHSA-jv89-g7f7-jwfg du 18 mars 2025

https://github.com/glpi-project/glpi/security/advisories/GHSA-jv89-g7f7-jwfg

Bulletin de sécurité GLPI GHSA-pcmc-xv3g-hjxv du 18 mars 2025

https://github.com/glpi-project/glpi/security/advisories/GHSA-pcmc-xv3g-hjxv

Référence CVE CVE-2025-21619

https://www.cve.org/CVERecord?id=CVE-2025-21619

Référence CVE CVE-2025-24799

https://www.cve.org/CVERecord?id=CVE-2025-24799

Référence CVE CVE-2025-24801

https://www.cve.org/CVERecord?id=CVE-2025-24801

Gestion détaillée du document

le 19 mars 2025: Version initiale