Er is een beveiligingslek ontdekt in GLPI, een gratis softwarepakket voor IT- en assetmanagement. Het betreft een opgeslagen XSS-aanvalsmogelijkheid in de versies 9.5.0 tot en met 10.0.18. Dit kan door een kwaadwillende technicus worden misbruikt om schadelijke scripts uit te voeren via het kanban-project.
Deze kwetsbaarheid, aangeduid als CVE-2025-27514, kan ernstige vertrouwelijkheidsproblemen veroorzaken zonder de integriteit en beschikbaarheid te beïnvloeden. Het probleem is opgelost in versie 10.0.19.
Overzicht
GLPI is een softwarepakket voor IT-beheer, dat onderdeel uitmaakt van een datacenterbeheer, met functies zoals licentiebeheer en softwareaudits. Deze kwetsbaarheid maakt gebruik van onjuiste neutralisatie van scriptgerelateerde HTML-tags op een webpagina.
Aanbevelingen
- Update uw GLPI-installatie naar versie 10.0.19 of nieuwer om beschermd te zijn tegen deze kwetsbaarheid.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-27514?
Dit betreft een kwetsbaarheid in GLPI die het mogelijk maakt voor een technicus om een opgeslagen XSS-aanval uit te voeren via het kanban-project.
Welke systemen zijn kwetsbaar voor CVE-2025-27514?
GLPI-installaties in de versies vanaf 9.5.0 tot 10.0.18 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, de kwetsbaarheid is verholpen vanaf GLPI versie 10.0.19.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan onopgemerkt kwaadaardige scriptcode uitvoeren die toegang kan verkrijgen tot vertrouwelijke gegevens binnen de GLPI-omgeving.
