CVE-2026-13490
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 — wyżej niż 23% wszystkich znanych CVE
Streszczenie
W systemie GLPI w wersjach 11.0.5, 11.0.6 i 11.0.7 wykryto podatność w komponencie Document Handler. Funkcja Document::canViewFile w pliku front/document.send.php nieprawidłowo weryfikuje argument docid, co umożliwia ominięcie autoryzacji. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania ze względu na wysoką złożoność.
Ocena ryzyka
Ominięcie autoryzacji może pozwolić nieuprawnionemu atakującemu na dostęp do poufnych dokumentów przechowywanych w GLPI, co stanowi ryzyko wycieku danych.
Rekomendacja
Zaleca się natychmiastowe zastosowanie poprawek dostarczonych przez producenta GLPI dla wersji 11.0.5, 11.0.6 i 11.0.7. Do czasu aktualizacji należy ograniczyć dostęp do pliku front/document.send.php oraz monitorować logi pod kątem podejrzanych żądań.
Oryginalny opis (angielski, źródło NVD)
A security vulnerability has been detected in glpi-project glpi 11.0.5/11.0.6/11.0.7. This affects the function Document::canViewFile of the file front/document.send.php of the component Document Handler. Such manipulation of the argument docid leads to authorization bypass. The attack can be executed remotely. This attack is characterized by high complexity. It is indicated that the exploitability is difficult. The vendor was contacted early about this disclosure.

