CERTFR-2026-AVI-0675 : vulnérabilités XSS et suppression GLPI, patch urgent

Les faits

Le 2 juin 2026, le CERT-FR (Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques) publie l'avis CERTFR-2026-AVI-0675, signalant de multiples vulnérabilités dans GLPI (Gestionnaire Libre de Parc Informatique), la solution open source de gestion de parc informatique et d'ITSM de référence dans de nombreuses administrations et entreprises françaises. Cet avis référence quatre CVEs (CVE-2026-40108, CVE-2026-42318, CVE-2026-42321 et CVE-2026-5385) qui ont motivé la publication des versions correctives 10.0.25 et 11.0.7 par l'équipe GLPI le 1er juin 2026 sur le dépôt officiel GitHub glpi-project/glpi.

CVE-2026-40108 est une vulnérabilité XSS (Cross-Site Scripting) dans les entrées de coût ITIL (ITIL cost entries) de GLPI, affectant les versions 11.0.0 à 11.0.6. Un utilisateur disposant du profil technicien peut injecter un payload XSS dans les champs de coût associés aux tickets ITIL. Ce payload JavaScript malveillant s'exécute dans le navigateur de tout utilisateur consultant ces entrées de coût, ce qui inclut potentiellement des administrateurs GLPI. Le score CVSS 4.0 est évalué à 7.1, avec un vecteur d'attaque réseau et des privilèges requis limités au profil technicien. Bien que ce score ne soit pas maximal, le ciblage des sessions administrateur dans un outil centralisant l'ensemble du parc informatique en fait une vulnérabilité à traiter en priorité selon l'avis CERT-FR CERTFR-2026-AVI-0675.

CVE-2026-42321 est une vulnérabilité XSS stockée (stored XSS) dans la fonctionnalité de verrouillage d'actifs (asset locks) de GLPI, affectant les deux branches actives : 10.0.x avant 10.0.25 et 11.0.x avant 11.0.7. Cette vulnérabilité permet d'injecter et de stocker un payload JavaScript malveillant dans les métadonnées de verrouillage d'un actif informatique (ordinateur, équipement réseau, serveur, imprimante, etc.). Le script s'exécute dans le contexte du navigateur de tout utilisateur consultant la page de l'actif concerné, ce qui inclut potentiellement des administrateurs GLPI. Une exploitation réussie peut conduire au vol de session (vol du cookie de session GLPI), à la redirection vers des sites de phishing, ou à l'exécution d'actions GLPI arbitraires au nom de la victime, comme la modification de configurations, la création de nouveaux comptes, ou l'exfiltration de données de parc.

CVE-2026-42318 décrit une vulnérabilité de suppression arbitraire d'éléments via la fonctionnalité de planning de GLPI, affectant également les deux branches 10.0.x et 11.0.x avant correction. Un utilisateur ayant accès à l'interface de planning peut supprimer des éléments GLPI (tickets, actifs, configurations, contrats) de manière non autorisée, contournant les contrôles d'accès censés restreindre ces opérations aux seuls utilisateurs habilités. Cette vulnérabilité d'atteinte à l'intégrité des données peut être exploitée pour causer des perturbations significatives dans la gestion ITSM de l'organisation : suppression de tickets critiques en cours de traitement, suppression d'actifs dans l'inventaire, effacement de contrats ou de licences logicielles.

CVE-2026-5385 complète le tableau avec une quatrième vulnérabilité intégrée dans l'advisory CERTFR-2026-AVI-0675. L'avis CERT-FR précise que les vulnérabilités permettent globalement : une atteinte à l'intégrité des données (suppression non autorisée), une injection de code indirecte à distance (XSS stored et reflected), et un contournement de la politique de sécurité. Ces trois catégories d'impact couvrent les principaux axes de risque ITSM : confidentialité des données de parc, intégrité des processus ITIL, et disponibilité des services de gestion.

La publication de l'advisory CERTFR-2026-AVI-0675 s'inscrit dans un contexte particulièrement préoccupant pour GLPI : il s'agit du troisième avis CERT-FR sur ce produit en l'espace de quatre semaines. CERTFR-2026-AVI-0551 avait été publié le 7 mai 2026 (sept vulnérabilités couvrant des XSS, injections et contournements d'authentification), suivi de CERTFR-2026-AVI-0609 le 19 mai 2026 (deux vulnérabilités). Cette accumulation de failles révèle un processus de revue de code insuffisant et une dette technique préoccupante dans un outil utilisé par de nombreux acteurs de la sphère publique française, dont des ministères, des collectivités territoriales, des hôpitaux et des universités.

La correction de ces vulnérabilités est disponible dans les versions 11.0.7 et 10.0.25 de GLPI, publiées le 1er juin 2026. L'équipe de développement GLPI a publié sept bulletins de sécurité détaillés sur GitHub Advisory Database (GHSA-2fg5-jg72-h338, GHSA-w7mr-3vwm-2j22, GHSA-4gr9-6x95-wfgv, GHSA-9wh2-hfjr-jqhf, GHSA-hwjc-8228-55x4, GHSA-jwvv-5fw5-v285, GHSA-mw9v-m9g9-mg6q), détaillant chaque vulnérabilité, son vecteur d'exploitation, et le correctif appliqué. La publication de sept GHSAs pour quatre CVEs indique que certaines vulnérabilités présentent des variantes ou des vecteurs d'exploitation multiples.

Dans le contexte réglementaire français et européen, les administrations et opérateurs de services essentiels (OSE) utilisant GLPI sont soumis à des obligations strictes de gestion des vulnérabilités sous la directive NIS2 et les recommandations ANSSI. La récurrence des alertes CERT-FR sur GLPI oblige les RSSI de ces organisations à évaluer formellement les risques, à documenter les mesures de remédiation prises, et à respecter les délais d'application des patches prescrits par leur politique de sécurité. Un retard injustifié dans l'application de ces correctifs peut constituer un manquement aux obligations réglementaires, exposant l'organisation à des sanctions de l'ANSSI ou des autorités de contrôle compétentes.

Impact et exposition

GLPI est massivement déployé dans les administrations publiques françaises, les collectivités territoriales, les établissements de santé (dont de nombreux CHU et hôpitaux publics), les universités et les PME/ETI pour la gestion de leur parc informatique et leurs processus ITSM. La solution centralise des informations extrêmement sensibles sur l'ensemble du parc informatique : inventaire complet des équipements, configurations réseau, plans d'adressage IP, documentations de mots de passe et de credentials, contrats fournisseurs, et processus ITIL en cours. Un attaquant ayant volé la session d'un administrateur GLPI via les XSS stockées dispose d'une cartographie complète de l'infrastructure cible.

L'exploitation des vulnérabilités XSS (CVE-2026-40108 et CVE-2026-42321) dans un contexte ITSM est particulièrement dangereuse car elle ouvre la voie à des attaques en chaîne : un technicien malveillant ou un compte compromis injecte un XSS dans un ticket ITIL ou un actif consulté par un administrateur, ce qui vole la session de l'administrateur, permettant ensuite à l'attaquant d'accéder à toutes les données GLPI avec les droits les plus élevés. Dans les environnements hospitaliers ou d'infrastructure critique, cette cartographie détaillée peut servir de base à des attaques ransomware ciblées particulièrement dévastatrices.

La vulnérabilité CVE-2026-42318 de suppression arbitraire représente un risque direct d'atteinte à la disponibilité des services ITSM : des tickets d'incidents critiques en cours de traitement, des contrats de maintenance d'équipements essentiels, ou des configurations d'actifs critiques pourraient être supprimés par un utilisateur malveillant ou un attaquant ayant obtenu un accès limité. Dans les environnements hospitaliers ou d'infrastructure critique (énergie, eau, transport), de telles perturbations de la gestion ITSM pourraient avoir des répercussions opérationnelles graves et perturber la continuité des soins ou des services publics.

Les installations GLPI exposées directement sur Internet (accès depuis l'extérieur sans VPN) présentent le niveau de risque le plus élevé pour les XSS stockées. Cependant, même les installations accessibles uniquement depuis le réseau interne sont vulnérables à un attaquant ayant déjà franchi le périmètre, ou à un insider malveillant disposant d'un accès technicien au GLPI.

Recommandations immédiates

• Mettre à jour GLPI vers la version 11.0.7 (branche 11.0.x) ou 10.0.25 (branche 10.0.x) — notes de sécurité : GLPI Security Release publiée le 1er juin 2026 sur github.com/glpi-project/glpi/releases
• Vérifier votre version actuelle : Administration > Configuration > Général dans l'interface GLPI, ou via grep -r "GLPI_VERSION" /chemin/vers/glpi/version.php
• Si la mise à jour immédiate est impossible, restreindre l'accès à GLPI aux seuls réseaux de confiance via pare-feu ou reverse-proxy avec liste blanche d'adresses IP
• Auditer les logs GLPI (fichiers de log applicatifs et logs serveur web) pour identifier des payloads XSS potentiels dans les champs de coûts ITIL et de planning des 30 derniers jours
• Vérifier l'intégrité des données GLPI : contrôler les tickets, actifs et contrats récemment supprimés pour identifier d'éventuelles suppressions non autorisées via CVE-2026-42318
• Mettre en place une politique de Content Security Policy (CSP) sur le serveur web hébergeant GLPI pour limiter l'impact des XSS si la mise à jour immédiate est impossible