Команда разработчиков GLPI выпустила обновления, закрывающие сразу тринадцать уязвимостей в популярной системе управления IT-активами и службой поддержки. Проблемы затронули все версии младше 10.0.25 и 11.0.7. Некоторые из них оцениваются как критические и позволяют злоумышленнику удалённо выполнять вредоносный код, похищать файлы или даже стирать данные без прав администратора.
Детали уязвимостей
GLPI - это программный продукт с открытым исходным кодом, который используют тысячи организаций по всему миру для учёта оборудования, программного обеспечения, обработки заявок и построения ITIL-процессов. Поэтому новость о массовых дырах в безопасности мгновенно привлекла внимание специалистов по информационной защите.
В официальном бюллетене от 29 апреля 2026 года перечислены сразу несколько типов угроз. Среди них - нарушение целостности данных, обход политик безопасности, подделка запросов на стороне сервера (SSRF, то есть техника, при которой атакующий заставляет сервер отправлять запросы во внутреннюю сеть) и межсайтовый скриптинг (XSS, когда код внедряется в страницу, отображаемую другим пользователям). Кроме того, указаны не уточнённые издателем риски.
Наиболее опасными признаны уязвимости с высоким (High) и средним (Medium) уровнями опасности. Так, CVE-2026-5385 позволяет сохранять вредоносный скрипт в базе знаний (Stored XSS). Любой сотрудник, открывший заражённую статью, может стать жертвой кражи сессионных данных или перенаправления на фишинговый сайт. Примерно такой же механизм используется в CVE-2026-40108, только точка внедрения - затраты ITIL. Ещё тревожнее выглядят CVE-2026-42318 и CVE-2026-42317: первая даёт возможность произвольно удалять элементы через планировщик, вторая позволяет техническому специалисту стирать любые файлы на сервере. Причём для этого не требуется привилегий администратора.
Среди уязвимостей среднего уровня выделяются CVE-2026-32312 (несанкционированный экспорт структуры форм) и CVE-2026-42320 (произвольный доступ к файлам). Вместе они открывают дорогу к утечке конфиденциальной информации - например, паролей или внутренних документов.
Также обнаружено несколько проблем низкого уровня, которые, впрочем, при комплексной атаке могут усилить эффект. Речь идёт о неавторизованном обновлении конфигурации, проверке IMAP-подключений, чтении конкретного объекта актива, модификации шаблонов полезной нагрузки вебхуков (вебхук - это автоматический вызов внешнего сервиса при наступлении события), подделке подписи CRA-валидации вебхуков и повторной отправке отложенных вебхуков. Каждая из этих возможностей сама по себе не смертельна, но в руках опытного злоумышленника становится инструментом для закрепления в системе.
Разработчики уже выпустили патчи. Всем пользователям GLPI рекомендуется как можно скорее обновиться до версии 10.0.25 или 11.0.7. Скачать новые сборки можно с официального репозитория на GitHub.
К сожалению, подобные массированные исправления становятся привычным делом для владельцев сложных веб-приложений. GLPI развивается уже более десяти лет, и каждый новый релиз приносит не только функции, но и закрытие дыр. В данном случае особенно тревожит, что многие из уязвимостей не требуют сложных манипуляций - достаточно иметь учётную запись пользователя. А учитывая, что в крупных компаниях к GLPI часто подключают внешних подрядчиков, риски возрастают многократно.
Что стоит предпринять администраторам прямо сейчас? Первым делом - проверить версию системы и, если она не соответствует актуальной, спланировать обновление. Лучше делать это в окно обслуживания, так как процесс включает миграцию базы данных. Затем стоит проанализировать, не было ли подозрительной активности в журналах: несанкционированных экспортов форм, необычных вызовов вебхуков, массового удаления записей. Если атака уже произошла, может потребоваться восстановление из резервной копии, созданной до применения патча.
Важно понимать, что просто установить обновление недостаточно. Необходимо также пересмотреть права доступа: уязвимости, связанные с удалением файлов, эксплуатируются через стандартные техники. Лучше всего следовать принципу минимальных привилегий - давать пользователям ровно те возможности, которые нужны для работы, и не больше. Активация строгих настроек безопасности, отключение неиспользуемых модулей и регулярный аудит конфигурации помогут снизить поверхность атаки.
История с GLPI напоминает: даже зрелые проекты с открытым кодом не застрахованы от ошибок. Пока одни исследователи находят дыры, другие уже готовят эксплойты. Поэтому главная защита - это своевременное обновление и бдительность. Не ждите, пока кто-то использует уязвимость в вашей инфраструктуре. Скачайте патч сегодня.
Ссылки
- https://github.com/glpi-project/glpi/releases
- https://github.com/glpi-project/glpi/milestone/86?closed=1
