В Банк данных угроз безопасности информации (BDU) поступила запись о критической уязвимости в системе GLPI. Это популярное решение для управления заявками, инцидентами и инвентаризацией компьютерного оборудования. Проблема получила идентификатор BDU:2026-05695 и международный код CVE-2025-66417. Уязвимость связана с непринятием мер по защите структуры запроса SQL. Речь идет о классической инъекции SQL (CWE-89). Эксплуатация позволяет удаленному нарушителю выполнить произвольный код на сервере.
Детали уязвимости
Согласно бюллетеню, проблема затрагивает все версии GLPI до 11.0.3 включительно. Проект GLPI развивается одноименной организацией GLPI Project. Однако в России уязвимость особенно опасна из-за совместимости с операционной системой РЕД ОС версии 8.0 от ООО «Ред Софт». Эта ОС входит в единый реестр российских программ. Многие государственные и коммерческие организации используют связку РЕД ОС и GLPI для автоматизации IT-процессов. Угроза затрагивает именно их.
Базовая оценка по шкале CVSS 2.0 составляет максимальные 10 баллов. Версия 3.1 даёт 9,8 балла из 10, что соответствует критическому уровню опасности. Вектор атаки - AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. Это означает, что злоумышленнику не нужна аутентификация. Ему не требуется доступ к учетной записи пользователя. Эксплуатировать уязвимость можно удаленно через сеть. Сложность атаки низкая. При успешной эксплуатации нарушитель получает полный контроль над конфиденциальностью, целостностью и доступностью системы. Он может прочитать все данные из базы, изменить их или вывести сервер из строя. Более того, выполнение произвольного кода позволяет закрепиться в системе, установить вредоносное ПО или использовать сервер как точку входа во внутреннюю сеть организации. Способ эксплуатации классифицируется как инъекция.
Производитель уже подтвердил уязвимость. Информации о публичном эксплойте пока нет, но это не снижает риска. SQL-инъекции в открытых системах часто становятся мишенью для атакующих в течение нескольких дней после раскрытия. Технические детали доступны в официальном репозитории на GitHub. Ссылка приведена в бюллетене BDU. Устранение проблемы достигнуто за счет обновления программного обеспечения. Разработчики выпустили патч в GLPI версии 11.0.3. Для пользователей РЕД ОС ООО «Ред Софт» подготовило собственные рекомендации, которые можно найти на официальном портале поддержки.
Организациям, использующим GLPI, необходимо немедленно провести инвентаризацию версий. Если используется версия ниже 11.0.3, требуется обновить систему до актуальной сборки. Для администраторов российских сред на РЕД ОС важно установить соответствующие обновления из репозитория Ред Софт. Игнорирование этой угрозы может привести к компрометации всей IT-инфраструктуры. Злоумышленник, получив доступ к GLPI, получает ключи к инвентарным данным, истории инцидентов и учетным записям. Это классический сценарий, когда одна уязвимость становится трамплином для развития атаки на более ценные ресурсы.
SQL-инъекции остаются одной из самых распространенных и опасных ошибок кода. Они входят в перечень OWASP Top 10 и постоянно используются в кампаниях APT. В 2025-2026 годах уже фиксировались массовые сканирования на уязвимости в GLPI. По данным открытых источников, инструменты для эксплуатации подобных проблем активно распространяются в теневом сегменте сети.
С точки зрения кибербезопасности, критический уровень опасности требует немедленной реакции. Рекомендуется также включить мониторинг в SOC. Системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS) должны иметь актуальные сигнатуры для блокировки попыток SQL-инъекций. Для организаций, использующих MITRE ATT&CK, данная атака соответствует технике T1190 (Exploit Public-Facing Application). Важно помнить, что даже после обновления необходимо проверить логи на предмет возможного взлома до установки патча. Если доступ уже был скомпрометирован, вредоносная нагрузка (payload) могла быть доставлена с возможностью закрепления в системе (persistence).
Подводя итог, можно сказать, что данная уязвимость - серьезный сигнал для всех администраторов GLPI, особенно в российском сегменте. Действовать нужно быстро. Обновление займет не более часа, а риск от эксплуатации может стоить компании миллионов рублей из-за утечки данных и простоя систем. Разработчики уже устранили проблему, значит, теперь ответственность лежит на пользователях.
Ссылки
- https://bdu.fstec.ru/vul/2026-05695
- https://www.cve.org/CVERecord?id=CVE-2025-66417
- https://github.com/glpi-project/glpi/security/advisories/GHSA-p467-682w-9cc9
- https://nvd.nist.gov/vuln/detail/CVE-2025-66417
- https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2025-66417
