文
章
目
录
章
目
录
GLPI是一款应用广泛的开源IT服务管理平台,然而,近期安全研究人员发现其存在严重漏洞(CVE-2025-24799),这一漏洞使得未经身份验证的攻击者有机会通过资产清单端点执行SQL注入攻击,甚至可能引发远程代码执行(RCE),导致受影响的IT服务管理平台面临被完全攻陷的风险。
一、漏洞影响范围
该漏洞影响GLPI 10.0.0至10.0.17版本,建议使用GLPI的机构尽快升级到10.0.18版本,此版本已修复该安全问题。
二、漏洞原理剖析
2.1 漏洞根源
CVE-2025-24799漏洞源于GLPI代理功能中对SQL查询的净化处理不足。具体体现在/src/Agent.php文件的handleAgent函数,这个用于资产清单的组件在处理HTTP请求时,未进行恰当的验证,从而给攻击者可乘之机,使其能够注入恶意SQL命令。
2.2 攻击流程
- 构造请求:攻击者向资产清单端点发送经过精心构造的HTTP请求。
- 数据库处理:由于输入未经过净化,数据库引擎直接处理这些恶意输入。
- 命令执行:注入的SQL命令以数据库用户权限执行。
- 权限提升与代码执行:根据系统配置,攻击者有可能提升权限,进而实现远程代码执行。
三、漏洞危害
此漏洞危险系数极高,因其无需身份验证,这就为恶意攻击者针对暴露在互联网上的GLPI实例提供了便捷的攻击途径。攻击者利用该漏洞,不仅可能未经授权访问敏感数据,在某些情况下,还能在受影响的服务器上编写并执行任意代码。鉴于成功利用此漏洞的严重后果,它被评定为“高”严重级别(CVSS 3.1评分7.5) 。
四、缓解建议
为防范这一漏洞带来的风险,安全专家给出以下建议:
- 及时更新版本:尽快将GLPI升级到10.0.18版本,修复漏洞。
- 强化访问控制:实施网络安全控制措施,限制对GLPI实例的访问,降低攻击风险。
- 加强监控:密切监控系统,及时发现并防范潜在的攻击尝试。
- 开展安全审计:对GLPI部署进行全面的安全审计,排查其他潜在安全隐患。
使用GLPI的机构务必重视此次漏洞,优先进行版本更新,保护关键IT资产和敏感信息的安全,避免遭受攻击造成损失。
