Deux vulnérabilités autour du produit de gestion de parc informatique GLPI intitulées » Pre-Authentication SQL injection to RCE » ont été publiées.
Dans cet article, nos experts reviennent sur ces deux vulnérabilités et analysent le nombre d’acteurs impactés et la typologie des entreprises touchées.
Qu’est-ce que le logiciel GLPI ?
Pour comprendre l’impact de ces vulnérabilités, il est bon de comprendre ce qu’est le logiciel GLPI, à quoi sert ce logiciel et qui l’utilise.
GLPI (Gestion Libre de Parc Informatique) est un logiciel open-source utilisé pour la gestion des services informatiques (ITSM) et des équipements d’une entreprise, d’un établissement scolaire ou d’une collectivité territoriale.
Ce logiciel permet notamment de suivre l’inventaire du matériel informatique (lister les logiciels, identifier les machines et leur localisation), de gérer les demandes d’assistance et d’organiser la maintenance des systèmes.
Si GLPI existe sous la forme d’une version gratuite, la société Teclib propose aujourd’hui une version payante au format on-premise ou hébergée dans le cloud incluant un ensemble de plugins avancés.
Qui utilise GLPI ?
Fort de plus de 80 versions depuis sa sortie en 2003, GLPI est un outil familier des décideurs informatiques, il est principalement utilisé par :
- Les entreprises qui ont un parc informatique à gérer.
- Les services informatiques (DSI, helpdesk, support technique) qui doivent assurer le suivi des équipements et des incidents.
- Les administrations publiques comme les mairies et les communautés de communes, les établissements scolaires qui ont besoin d’un outil centralisé pour gérer leur infrastructure informatique.
Quelles sont les fonctionnalités principales de GLPI ?
Le logiciel GLPI est pensé comme un outil modulaire proposant des briques de fonctionnalités à activer.
De nombreux modules existent comme la gestion de l’inventaire qui permet le recensement des ordinateurs, serveurs, périphériques et logiciels installés.
La gestion des tickets d’assistance utilisateur qui permet l’ouverture de tickets suite à la demande des utilisateurs et le suivi des incidents constatés.
La gestion des utilisateurs et des accès par l’attribution de rôles et des permissions ou encore la gestion des licences et des contrats permettant le suivi de réabonnements.
Pour pouvoir fonctionner, l’administrateur GLPI doit installer un agent logiciel sur les machines du parc informatique. Ce sont ces agents qui envoient les informations au logiciel principal.
Quelles sont les vulnérabilités qui ont été détectées ?
Deux vulnérabilités ont été détectées à la fin du mois de décembre 2024, les rapports ont été validés le 28 Janvier dernier sous les identifiants CVE-2025-24799 et CVE-2025-24801.
Dans ce cas de figure, la première vulnérabilité (injection sql) doit être exécutée pour accéder à la seconde vulnérabilité permettant l’exécution de code à distance.
À l’heure de la rédaction de cet article, une version corrigée de GLPI est disponible en version 10.0.18 depuis le 12 février 2025.
Injection SQL sans authentification (CVE-2025-24799) :
Cette vulnérabilité a été découverte dans une fonction PHP utilisée habituellement pour effectuer les inventaires via l’agent GLPI.
Les experts en cybersécurité l’ayant découverte ont pu observer que cette fonctionnalité accepte des entrées utilisateur sans authentification.
Sous cette forme, la fonction permet à l’attaquant d’effectuer une injection SQL dans la base de données à l’aide d’une requête au format XML.
Escalade vers l’exécution de code à distance (CVE-2025-24801) :
Après exploitation de la précédente vulnérabilité, un attaquant peut accéder à des jetons API d’authentification stockés en clair dans la base de données. Une fois authentifié, l’attaquant a la capacité d’exécuter du code à distance.
Qui sont les acteurs impactés par ces vulnérabilités ?
Pour pouvoir identifier les acteurs impactés par ces vulnérabilités, notre méthode d’identification des vulnérabilités repose sur l’identification de la version de GLPI.
C’est une méthode fiable pour identifier ce type de vulnérabilité, mais cela ne prend pas en compte les conditions d’exploitation. En effet, il est nécessaire qu’un paramètre soit activé sur le logiciel pour que la condition d’exploitation soit présente. D’après le blog de la société Lexfo ayant découvert ces vulnérabilités, cette condition est très souvent présente.
Selon notre analyse du 13 mars à 10h et en se basant sur cette méthode d’identification, 6929 instances GLPI ont été identifiées sur internet.
Parmi ces instances, 3035 semblaient vulnérables soit 43,8% des instances.
En France, pas moins de 680 instances ont été détectées.
Parmi ses instances, trois typologies d’acteurs sont identifiées.
25% de ces instances sont des sociétés du secteur des technologies de l’information, notamment des prestataires informatiques qui utilisent GLPI dans la gestion des parcs informatiques de leurs clients.
20% de ces instances sont reliées au secteur de l’éducation incluant des établissements scolaires et des universités. Ce chiffre n’est pas étonnant puisque de nombreuses universités en France ont adopté GLPI dans leur fonctionnement au quotidien.
Enfin, environ 5% de ces instances sont identifiées comme des administrations publiques. On observe parmi ces acteurs des mairies et collectivités territoriales.
Que faire si votre instance GLPI est impactée par ces vulnérabilités ?
Il est impératif de mettre à jour votre instance GLPI avec la dernière version disponible.
Si la mise à jour immédiate n’est pas possible, il vous est conseillé de désactiver la fonction d’inventaire native de GLPI. En complément, il est recommandé de restreindre l’accès externe à l’application en limitant les connexions depuis le firewall en bordure de réseau.
L’application de la politique du moindre privilège permet également de s’assurer que GLPI fonctionne avec les privilèges minimaux nécessaires, permettant ainsi d’atténuer l’impact d’une éventuelle exploitation.
