С начала июня 2026 года специалисты по информационной безопасности получили тревожный сигнал. В популярной системе управления IT-услугами GLPI обнаружена целая серия уязвимостей, затрагивающих как актуальную ветку 11.0.x, так и более старую 10.0.x. Разработчики проекта уже выпустили патчи, но, учитывая степень риска, каждому администратору стоит немедленно проверить версию своей инсталляции. В общей сложности раскрыто десять проблем, часть из которых классифицирована как критические, а остальные - как низко рискованные. Тем не менее каждая из них может быть использована злоумышленниками для компрометации системы.
Детали уязвимостей
Начнём с самых опасных уязвимостей. В версиях от 11.0.0 до 11.0.6 обнаружена проблема, получившая идентификатор CVE-2026-5385. Речь идёт о межсайтовом скриптинге с сохранением (так называемый stored XSS - внедрение вредоносного кода, который навсегда остаётся в системе и срабатывает при просмотре страницы). Атакующий, имеющий права на запись в базу знаний, может поместить вредоносную полезную нагрузку в один из элементов базы. При открытии такой страницы другим пользователем код исполняется в его браузере. Уязвимость признана высокой, её базовый показатель CVSS v4 составляет 8.7 балла. Аналогичная проблема (CVE-2026-42321) затрагивает версии от 10.0.4 до 10.0.24 - там техник может сохранить XSS-код в блокировках активов. Третий случай высокой опасности (CVE-2026-40108) найден в версиях старше 11.0.0: вредоносный скрипт встраивается в поля затрат ITIL-процессов. Все эти три атаки требуют от злоумышленника довольно высоких привилегий и активного участия жертвы, но при успешной эксплуатации ведут к полной утрате конфиденциальности, целостности и доступности данных системы.
Самая, пожалуй, тревожная находка - уязвимость с кодом CVE-2026-42318. Она позволяет технику, имеющему доступ к модулю планирования, удалить любой объект в GLPI. Неважно, что это - заявка, оборудование или пользователь. Удаление происходит без подтверждения, от жертвы не требуется никаких действий. CVSS-оценка опять высокая (8.7). Проблема касается всех версий, начиная с 9.5.0, вплоть до 11.0.6. Разработчики настоятельно рекомендуют немедленно обновиться до 10.0.25 или 11.0.7. В качестве временной меры можно отключить права на удаление в настройках планирования.
Перейдём к уязвимостям низкого уровня, но не менее важным для общей картины. В версиях 11.0.x обнаружено сразу несколько проблем, связанных с механизмами вебхуков (автоматических уведомлений между системами). Аутентифицированный пользователь с правами на чтение конфигурации может несанкционированно запустить проверку вебхука (GHSA-4gr9-6x95-wfgv), повторно отправить отложенные вебхуки (GHSA-9wh2-hfjr-jqhf) или изменить шаблон полезной нагрузки вебхука (GHSA-mxf4-8mjr-3qh2). Также в версиях 11.0.0-11.0.6 возможна атака "человек посередине" на запрос вебхука при очень специфических условиях (GHSA-jwvv-5fw5-v285). Ещё одна проблема касается версий от 10.0.24 и 11.0.0: пользователь, имеющий доступ к конфигурации, может опрашивать IMAP-серверы через GLPI (GHSA-mw9v-m9g9-mg6q). Все эти уязвимости не имеют присвоенных CVE и признаны низкорискованными, однако их совокупное использование может облегчить более серьёзные атаки.
Таким образом, любая организация, использующая GLPI, должна срочно оценить свою версию. Для ветки 10.0.x актуальной безопасной сборкой является версия 10.0.25, а для ветки 11.0.x - версия 11.0.7. Процесс обновления не займёт много времени, поскольку патчи уже выпущены и доступны на официальной странице проекта GitHub в разделе security advisories. Владельцам систем, где обновление невозможно, следует по крайней мере ограничить права на чтение конфигурации и отключить права на удаление в планировании. Однако полагаться на эти временные меры надолго нельзя - риск компрометации остаётся высоким.
Вывод однозначен: разработчики GLPI оперативно отреагировали на инцидент, и теперь дело за администраторами. Игнорирование этих уязвимостей может привести не только к утечке данных, но и к полному нарушению работы всей IT-инфраструктуры. Особенно опасны XSS-атаки, способные передавать учётные данные и сессионные токены злоумышленнику, а также возможность произвольного удаления объектов. Поэтому первым делом сегодня - проверить версию GLPI и установить обновление.
Ссылки
- https://github.com/glpi-project/glpi/security/advisories/GHSA-2fg5-jg72-h338
- https://github.com/glpi-project/glpi/security/advisories/GHSA-4gr9-6x95-wfgv
- https://github.com/glpi-project/glpi/security/advisories/GHSA-9wh2-hfjr-jqhf
- https://github.com/glpi-project/glpi/security/advisories/GHSA-hwjc-8228-55x4
- https://github.com/glpi-project/glpi/security/advisories/GHSA-jwvv-5fw5-v285
- https://github.com/glpi-project/glpi/security/advisories/GHSA-mw9v-m9g9-mg6q
- https://github.com/glpi-project/glpi/security/advisories/GHSA-mxf4-8mjr-3qh2
- https://github.com/glpi-project/glpi/security/advisories/GHSA-rhmv-j773-4gvh
- https://github.com/glpi-project/glpi/security/advisories/GHSA-w7mr-3vwm-2j22
