Origine : bjCSIRT

Numéro : 2026/ALERTE/011

APERÇU :

Une vulnérabilité critique affectant GLPI permettrait à un acteur malveillant de téléverser des fichiers arbitraires sur les systèmes affectés. 

DESCRIPTION :

GLPI est un système open source de gestion des actifs informatiques, de suivi des incidents et de support technique.  

Cette solution est affectée par une vulnérabilité libellée CVE-2026-22248 qui résulte d’une instanciation PHP non sécurisée. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié de téléverser des fichiers arbitraires sur les systèmes cibles.    

Elle est classée élevée avec un score de sévérité de 8.0 selon le CVSS V3.1. 

IMPACT

• Exécution de code arbitraire à distance ;
• Compromission de l’intégrité du système ;
• Atteinte à la confidentialité et à la disponibilité des données

SYSTÈMES AFFECTÉS :

Les versions de GLPI allant de la version 11.0.0 à 11.0.4. 

MESURES À PRENDRE :

Mettre à jour GLPI vers la dernière version stable. 

RÉFÉRENCES :

• https://nvd.nist.gov/vuln/detail/CVE-2026-22248
• https://github.com/glpi-project/glpi/security/advisories/GHSA-c9q3-mcxq-9vr4