CVE-2025-24799

Nome do Software Vulnerável e Versões Afetadas Versões do GLPI anteriores à 10.0.18

Descrição O GLPI é um pacote de software para gerenciamento de ativos e de TI. Um usuário não autenticado pode realizar uma injeção de SQL através do endpoint de inventário. Isso permite que um atacante execute comandos SQL arbitrários. Uma grande violação de dados na Eurofiber France, impactando mais de 3.600 clientes, incluindo Thales, Orange e ministérios franceses, foi atribuída à exploração dessa falha. A vulnerabilidade é explorável através do endpoint da API /inventory, onde a entrada para consultas SQL não é devidamente sanitizada. O endpoint inventory é vulnerável a injeção de SQL devido à manipulação inadequada de dados fornecidos pelo usuário.

Recomendações Atualize o GLPI para a versão 10.0.18 ou posterior.