Специалисты по кибербезопасности зафиксировали новую серьёзную уязвимость в системе управления IT-инфраструктурой GLPI. Согласно записи в Банке данных угроз безопасности информации (BDU) под номером BDU:2026-05697 (CVE-2026-22044), проблема затрагивает версии до 10.0.23 включительно. Уязвимость классифицируется как непринятие мер по защите структуры запроса к базе данных - классическая SQL-инъекция (CWE-89). Она позволяет злоумышленнику, действующему удалённо, полностью скомпрометировать систему, выполнив произвольный код на стороне сервера.
Детали уязвимости
Стоит отметить, что GLPI широко используется в государственных и коммерческих организациях для ведения заявок, учёта инцидентов и инвентаризации оборудования. Вместе с тем эксплуатация данной уязвимости не требует высокого уровня привилегий: атакующему нужна лишь учётная запись с минимальными правами. Базовая оценка по версии CVSS 3.1 составляет 8,8 балла, что соответствует высокому уровню опасности. В более старой системе CVSS 2.0 оценка достигает 9 баллов.
Вектор атаки выглядит следующим образом: сетевой доступ, низкая сложность, низкий уровень аутентификации, полное воздействие на конфиденциальность, целостность и доступность. Иными словами, один SQL-запрос может позволить нарушителю получить полный контроль над учётными записями, данными и серверными службами. Разработчики GLPI Project уже выпустили исправление в версии 10.0.23.
Для российских пользователей ситуация осложняется тем, что уязвимость затрагивает и сертифицированную операционную систему РЕД ОС версии 8.0. Вендор - компания «Ред Софт» - рекомендует обновить пакеты с GLPI до актуального состояния. Подробные инструкции доступны на официальных страницах производителя и на портале распространения обновлений Ред ОС. В качестве первоочередной меры стоит проверить версию установленного компонента и при наличии версии ниже 10.0.23 немедленно выполнить обновление.
Следует подчеркнуть, что на момент публикации наличие эксплойта остаётся неизвестным - данные уточняются. Однако практика показывает, что после официального раскрытия уязвимости такие атаки быстро появляются в открытом доступе. Поэтому администраторам GLPI рекомендуется действовать безотлагательно.
В целом ситуация напоминает недавние инциденты с открытыми CMS и системами Help Desk. SQL-инъекции остаются одним из наиболее распространённых и опасных типов ошибок. Даже при высоком уровне защиты периметра наличие уязвимости в прикладном ПО может свести к нулю все усилия по обеспечению безопасности. Кроме того, атака происходит на уровне базы данных, что часто остаётся без внимания команд инфраструктурной защиты.
В результате для полного устранения угрозы необходимо не только обновить GLPI, но и перепроверить журналы доступа на предмет подозрительных запросов. Рекомендуется временно усилить мониторинг событий в базе данных и настроить систему обнаружения вторжений (IDS) на сигнатуры SQL-инъекций.
Подводя итог, уязвимость BDU:2026-05697 представляет собой серьёзный вызов для организаций, использующих GLPI. Высокая оценка CVSS, широкое распространение и простота эксплуатации делают её приоритетной целью для атакующих. Производитель уже выпустил патч, и единственным надёжным способом защиты является скорейшее обновление. Промедление может привести к утечкам данных, перехвату управления и полной блокировке IT-инфраструктуры.
Ссылки
- https://bdu.fstec.ru/vul/2026-05697
- https://www.cve.org/CVERecord?id=CVE-2026-22044
- https://github.com/glpi-project/glpi/releases/tag/10.0.23
- https://github.com/glpi-project/glpi/security/advisories/GHSA-569q-j526-w385
- https://nvd.nist.gov/vuln/detail/CVE-2026-22044
- https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2026-22044
