Katalog CVE

CVE-2026-13490

NiskieCVSS 3.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 23 — wyżej niż 23% wszystkich znanych CVE

Streszczenie

W systemie GLPI w wersjach 11.0.5, 11.0.6 i 11.0.7 wykryto podatność w komponencie Document Handler. Funkcja Document::canViewFile w pliku front/document.send.php nieprawidłowo weryfikuje argument docid, co umożliwia ominięcie autoryzacji. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania ze względu na wysoką złożoność.

Ocena ryzyka

Ominięcie autoryzacji może pozwolić nieuprawnionemu atakującemu na dostęp do poufnych dokumentów przechowywanych w GLPI, co stanowi ryzyko wycieku danych.

Rekomendacja

Zaleca się natychmiastowe zastosowanie poprawek dostarczonych przez producenta GLPI dla wersji 11.0.5, 11.0.6 i 11.0.7. Do czasu aktualizacji należy ograniczyć dostęp do pliku front/document.send.php oraz monitorować logi pod kątem podejrzanych żądań.

Oryginalny opis (angielski, źródło NVD)

A security vulnerability has been detected in glpi-project glpi 11.0.5/11.0.6/11.0.7. This affects the function Document::canViewFile of the file front/document.send.php of the component Document Handler. Such manipulation of the argument docid leads to authorization bypass. The attack can be executed remotely. This attack is characterized by high complexity. It is indicated that the exploitability is difficult. The vendor was contacted early about this disclosure.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS