GLPI est un logiciel opensource de gestionnaire de parc informatique. Très utilisé par les SI dans les entreprises il contient des informations critiques tels que les mots de passe, les bases de données, les informations sur les serveurs et équipements connectés.
Arriver à pénétrer dans le GLPI d’une entreprise c’est ouvrir le saint Graal !!!!
Il est d autant plus facile de trouver des GLPI ouvert sur le net avec GHDB :
intitle:"GLPI - Authentication"
GLPI Injection de code PHP
La page incriminée dans les versions antérieurs 10.0.2 est : vendor/htmlawed/htmlawed/htmLawedTest.php
Ce fichier en plus ne sert que pour des tests, GLPI conseille de le supprimer purement et simplement en attendant une mise à jour.
Aucun exploit est pour l’instant publié pour exploiter cette faille.
