📢 GLPI 11.0.0–11.0.5 : chaîne 0-day Blind XSS + SSTI permettant un RCE non authentifié
📝 ## 🔍 Contexte

Publié le 3 avril 2026 sur le blog de BZHunt (https://www.bzhunt.fr/blog/cve_glpi/), cet article présente l'anatomie complète d'une chaîne d'exploitati...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-05-glpi-11-0-0-11-0-5-chaine-0-day-blind-xss-ssti-permettant-un-rce-non-authentifie/
🌐 source : https://www.bzhunt.fr/blog/cve_glpi/
#0_day #CVE_2026_26026 #Cyberveille

Tiens, intéressant : il s’agit du rapport technique sur la faille #glpi, à l'origine du patch du mois passé.
Si vous administrez un service GLPI

⬇️
"mettez à jour vers la version 11.0.6 disponible depuis le 3 mars 2026. Si la mise à jour n’est pas encore possible, activez l’authentification sur l’endpoint /Inventory (Paramètres → Inventaire → En-tête d’autorisation)."
⬇️
"GLPI : Blind XSS → ATO → SSTI → RCE — anatomie d'une chaîne 0-day
BZHunt a découvert deux vulnérabilités chaînées dans GLPI 11.0.0–11.0.5 (CVE-2026-26026, CVE-2026-26027) permettant à un attaquant non authentifié d'exécuter du code arbitraire via une Blind Stored XSS et une SSTI. Analyse technique complète et responsible disclosure."
👇
https://www.bzhunt.fr/blog/cve_glpi/

...et nice to know: Claude a encore aidé & tiré (Notice de transparence très appréciée)

"Cette recherche a été conduite avec l’assistance de Claude Opus 4.6 (Anthropic), utilisé par BZHunt dans son processus de R&D. Toutes les vulnérabilités ont été identifiées, vérifiées et exploitées par des chercheurs humains. Nous faisons le choix de la transparence sur l’usage de l’IA dans nos travaux, dans l’attente que des standards clairs émergent sur ce sujet."

#CyberVeille #CVE_2026_26026 CVE-2026-26027