摘要
GLPI(一款流行的开源IT资产管理工具)中发现了一个重大漏洞,追踪为CVE-2025-24799和CVE-2025-24801。该漏洞允许未认证攻击者利用SQL注入,可能导致远程代码执行(RCE)。此漏洞与GLPI的原生库存功能相关,该功能通常默认启用且无需认证即可访问。
受影响系统和/或应用
该漏洞已在版本10.0.17中确认,但更早版本也可能受影响。暴露在互联网上且数据库安全措施不足的系统尤其脆弱。建议使用GLPI的组织检查当前版本并尽快应用最新安全补丁。
技术细节/攻击概述
此漏洞源于GLPI代理中SQL查询的清理不足,具体位于/src/Agent.php中的handleAgent函数,该函数用于库存目的。攻击者可以发送特制的HTTP请求来注入恶意SQL命令,从而获取敏感数据、提升权限,并在某些情况下远程执行任意代码。
攻击通常遵循结构化方法:攻击者发送SQL注入载荷,由数据库处理,从而获得未授权访问。如果攻击者能够操纵数据库函数或利用用户定义函数,他们可以在服务器上编写和执行PHP代码,最终实现RCE。此问题尤其令人担忧,因为它无需预先认证,使得在未打补丁的系统中易于利用。
预计Tenable和Qualys等安全供应商将发布检测规则,组织应确保其漏洞扫描器是最新的以检测此问题。
临时解决方法和缓解措施
最有效的缓解措施是应用GLPI发布的官方补丁[GLPI-patch-10.0.18]。如果无法立即打补丁,组织应禁用原生库存功能[GLPI-disable-native-inventory-feature]和/或限制对GLPI的外部访问,仅允许受信任网络与应用程序交互。此外,强化数据库权限并确保GLPI以最小必要权限运行,可以减少成功攻击的影响。然而,鉴于漏洞的性质,打补丁仍然是唯一可靠的解决方案。
检测指南
如果无法立即打补丁,组织应实施临时解决方法和缓解措施,并额外监控Web服务器日志中的异常SQL查询或意外认证尝试。
安全团队还可以使用入侵检测和防御系统(IDS/IPS)来识别可疑的数据库活动。
网络融合中心的行动
网络融合中心将持续监控情况,并在必要时发布咨询更新。参与我们漏洞扫描服务的客户将在扫描提供商提供相关插件后,立即收到扫描范围内检测到的任何漏洞的相关结果。
参考资料
更多信息,请参考技术安全文章[lexfo-technical-article],包括概念验证利用。组织应应用推荐的补丁[GLPI-patch-10.0.18]并通过安全公告保持更新。有关即将发布的CVE报告的更多细节将在可用时提供。