🛡️ Catálogo Detalhado de Vulnerabilidades GLPI

Este boletim consolida vulnerabilidades divulgadas oficialmente pelo GLPI (GitHub / advisories do fornecedor). Versões anteriores às indicadas estão expostas a falhas que permitem execução remota de código, acesso indevido a dados e comprometimento de contas.

Recomendamos fortemente a atualização para o GLPI 11.0.6 e em casos isolados a atualização para a versão GLPI 10.0.24 .

🔴 GLPI 11.0.6 (Correções Críticas)

Recomendação: Atualizar versões ≤ 11.0.5

  • 🔴 [CRÍTICA] CVE-2026-26026 — Server-Side Template Injection (SSTI)

    Vetor: Autenticado (Privilegiado)

    Foco: Nuvem.

    Descrição: Permite que um invasor injete lógica maliciosa em templates de e-mail ou documentos. O servidor processa essa lógica e executa comandos diretamente no sistema operacional (RCE). Na nuvem, isso permite o controle total da instância e tentativa de roubo de metadados da AWS/Azure.

  • 🔴 [ALTA] CVE-2026-26263 — SQL Injection via Busca Vetor: SEM AUTENTICAÇÃO (Externo) / Foco: Banco de Dados.

    Descrição: O motor de busca global não filtra caracteres especiais. Um atacante externo pode enviar comandos SQL que forçam o banco a "cuspir" a tabela de usuários, hashes de senhas e configurações de sistema sem precisar de login.

  • 🔴 [ALTA] CVE-2026-26027 — Stored XSS via Inventário Vetor: SEM AUTENTICAÇÃO (Agente) / Foco: Inventário/TI.

    Descrição: Um agente de inventário falso ou um dispositivo infectado na rede envia dados XML maliciosos. O código fica "adormecido" no banco e é executado no navegador do técnico de TI assim que ele abre a ficha do computador, permitindo o roubo da sessão do administrador.

  • 🔴 [ALTA] CVE-2026-29047 — SQL Injection Autenticada

    Vetor: Autenticado

    Foco: Interno.

    Descrição: Usuários com acesso básico podem manipular parâmetros de URL em componentes de listagem para visualizar dados que pertencem a outras entidades ou departamentos aos quais não têm permissão.

  • 🟠 [MODERADA] CVE-2026-25937 — MFA Bypass

    Vetor: Login

    Foco: Autenticação.

    Descrição: Uma falha na lógica de validação do Segundo Fator (MFA) permite que, em condições específicas, o atacante pule a exigência do token e acesse a conta apenas com a senha capturada.

  • 🟠 [MODERADA] CVE-2026-25936 — SQL Injection (Variante)

    Vetor: Autenticado

    Foco: Banco de Dados.

    Descrição: Vulnerabilidade em filtros de tabelas específicas que permite a extração de metadados do banco de dados por usuários logados.

🟠 GLPI 11.0.5 (Sessão e Upload)

Recomendação: Atualizar versões ≤ 11.0.4

  • 🔴 [ALTA] CVE-2026-22248 — RCE via Upload Malicioso Vetor: Autenticado / Foco: Nuvem/Servidor. Descrição: Falha na verificação de extensões de arquivos em uploads de documentos. Um atacante pode subir um script .php disfarçado e executá-lo para ganhar acesso de terminal ao servidor.

  • 🟠 [MODERADA] CVE-2026-23624 — Session Stealing (LDAP/SAML) Vetor: SSO / Foco: Active Directory (AD). Descrição: Ocorre durante a troca de usuários autenticados externamente. O sistema falha em limpar o token de sessão anterior, permitindo que um usuário "assuma" a identidade de outro que utilizou o mesmo navegador ou processo de SSO.

  • 🟠 [MODERADA] CVE-2026-22247 — SSRF via Webhooks Vetor: Autenticado / Foco: Rede Interna. Descrição: O GLPI pode ser forçado a realizar requisições para a rede interna. O atacante usa o GLPI como "escudo" para escanear portas de servidores que não estão expostos para a internet.

🔴 GLPI 11.0.4

  • 🔴 [ALTA] CVE-2025-64516 — Acesso Não Autorizado a Documentos Vetor: Autenticado / Foco: LGPD/Privacidade. Descrição: Permite que qualquer usuário logado visualize anexos e documentos privados de outros chamados simplesmente alterando o ID numérico na URL do documento.

  • 🔴 [ALTA] CVE-2025-66417 — SQL Injection Não Autenticada Vetor: SEM AUTENTICAÇÃO / Foco: Banco de Dados. Descrição: Falha grave que permite a execução de comandos SQL antes da tela de login, expondo toda a estrutura do banco de dados para a internet.

🟠 GLPI 10.0.24 (Linha de Manutenção 10)

Recomendação: Atualizar versões ≤ 10.0.23

  • 🔴 [ALTA] CVE-2026-25932 — Stored XSS em Fornecedores Vetor: Autenticado / Foco: Social Engineering. Descrição: Permite injetar scripts maliciosos nos campos de cadastro de fornecedores. Quando o setor de compras ou TI acessa o cadastro, o script rouba os cookies de sessão.

  • 🟠 [MODERADA] CVE-2026-22044 — SQL Injection em Listagens Vetor: Autenticado / Foco: Interno. Descrição: Usuários logados podem forçar erros de SQL para extrair dados brutos das tabelas de configuração do sistema.

🟠 GLPI 10.0.22 / 10.0.21

  • 🟠 [MODERADA] CVE-2025-59935 — Stored XSS via Inventário Vetor: SEM AUTENTICAÇÃO / Foco: TI/Inventário. Descrição: Injeção de scripts através do recebimento de XMLs de inventário. Ataca especificamente a equipe técnica que gerencia o parque de máquinas.

  • 🟠 [MODERADA] CVE-2025-64520 — Acesso à Base de Conhecimento via API Vetor: API / Foco: Informação. Descrição: Falha na validação de permissões da API REST que permite que usuários visualizem artigos da Base de Conhecimento marcados como "Privados" ou "Internos".

🟠 GLPI 10.0.19 (Vazamento de Dados)

  • 🔴 [ALTA] CVE-2025-53105 — Alteração de Ordem de Regras Vetor: Autenticado / Foco: Processo de Negócio. Descrição: Um atacante pode alterar a ordem das regras de negócio, podendo desativar SLAs, regras de atribuição automática ou pular fluxos de aprovação.

  • 🟠 [MODERADA] CVE-2025-53008 — Exfiltração de Credenciais de E-mail Vetor: Autenticado / Foco: Nuvem/E-mail. Descrição: Permite que usuários com acesso a certas telas visualizem ou extraiam as senhas (em texto claro ou descriptografáveis) dos coletores de e-mail (IMAP/SMTP).

  • 🟠 [MODERADA] CVE-2025-52567 — Blind SSRF via RSS Vetor: RSS/Planejamento / Foco: Rede Interna. Descrição: O servidor GLPI pode ser induzido a realizar conexões internas silenciosas, revelando se outros serviços internos estão ativos.

🔴 GLPI 10.0.18 (Riscos de Controle)

  • 🔴 [ALTA] CVE-2025-24799 — SQL Injection via Inventário Vetor: SEM AUTENTICAÇÃO / Foco: Banco de Dados. Descrição: Injeção SQL direta através do endpoint que processa o inventário automático. Risco total de vazamento de dados sem login.

  • 🔴 [ALTA] CVE-2025-24801 — RCE Autenticado Vetor: Autenticado / Foco: Servidor. Descrição: Execução de comandos do sistema operacional por usuários logados, permitindo escalar privilégios dentro do servidor Linux/Windows.

  • 🟠 [MODERADA] CVE-2025-21626 — Status.php Info Leak Vetor: SEM AUTENTICAÇÃO / Foco: Reconhecimento. Descrição: O endpoint de status revela versões exatas de componentes e caminhos de arquivos, servindo de mapa para um atacante planejar invasões.

🔴 GLPI 10.0.17 (Riscos Críticos de Identidade)

  • 🔴 [CRÍTICA] CVE-2024-50339 — Unauthenticated Session Hijacking Vetor: SEM AUTENTICAÇÃO / Foco: Sessão. Descrição: Permite que um atacante assuma a sessão de um usuário ativo sem saber a senha, bastando interceptar ou prever identificadores de sessão vulneráveis.

  • 🔴 [ALTA] CVE-2024-40638 — Account Takeover via SQLi Vetor: SEM AUTENTICAÇÃO / Foco: Contas. Descrição: Permite a tomada total de contas (incluindo admins) através de injeção SQL, podendo alterar senhas e e-mails de recuperação diretamente no banco.

Implantação e suporte técnico para GLPI.

Entre em contato

comercial@csinovacao.com

+55 41 98874-7025

© 2025. All rights reserved.

CNPJ: 42.909.263/0001-68

CONsultoria