概要
GLPI Inventory Pluginは、GLPIエージェントのネットワーク検出、インベントリ管理、ソフトウェア展開、データ収集を担うプラグインです。このプラグインのタスクジョブ機能において、反射型クロスサイトスクリプティング(XSS)の脆弱性(CVE-2026-25590)が報告されました。この脆弱性は、バージョン1.6.6より前のGLPI Inventory Pluginに存在し、バージョン1.6.6で修正されています。
影響範囲
GLPI Inventory Pluginのバージョン1.6.6より前のバージョンが影響を受けます。
具体的には、GLPI Inventory Pluginを利用している環境が対象となります。
想定される影響
この脆弱性が悪用された場合、攻撃者は細工されたURLをユーザーにクリックさせることで、ユーザーのブラウザ上で任意のスクリプトを実行させる可能性があります。
これにより、セッションハイジャック、Cookie情報の窃取、Webサイトの改ざん表示、フィッシング詐欺への悪用など、様々なセキュリティ上の問題が発生する恐れがあります。
攻撃成立条件・悪用状況
攻撃成立条件
- GLPI Inventory Pluginの脆弱なバージョンが稼働していること。
- 攻撃者が細工したURLをユーザーにクリックさせる、またはアクセスさせること。
悪用状況
現時点では、この脆弱性の具体的な悪用状況に関する詳細な情報は報告されていません。
推奨対策
今すぐできる対策(最優先)
- GLPI Inventory Pluginのアップデート: 開発元から提供されている修正版のバージョン1.6.6以降へ、速やかにアップデートを実施してください。
中長期的な対策
- セキュリティ情報の継続的な監視: GLPIおよび関連プラグインのセキュリティ情報を定期的に確認し、常に最新の状態を保つようにしてください。
- WAF(Web Application Firewall)の導入・設定強化: 反射型XSS攻撃を検知・ブロックするために、WAFの導入や既存のWAF設定の見直しを検討してください。
- 従業員へのセキュリティ教育: 不審なリンクをクリックしないよう、従業員への注意喚起とセキュリティ教育を継続的に実施してください。
一時的な緩和策
根本的な解決策はアップデートですが、それがすぐに実施できない場合は、以下の対策を検討してください。
- 不審なURLやメールに注意し、安易にクリックしないようユーザーに周知徹底する。
- Webブラウザのセキュリティ設定を強化し、スクリプトの実行を制限する。
確認方法
現在利用しているGLPI Inventory Pluginのバージョンを確認し、それが1.6.6より前のバージョンであるかどうかを確認してください。
参考情報
詳細については、以下の情報を参照してください。