GLPI avant avant la version 9.4.6 a une vulnérabilité impliquant une clé de chiffrement par défaut. GLPIKEY est public et est utilisé sur tous les cas. Ce moyen de n’importe qui peut décrypter les données sensibles stockées en utilisant cette touche. Il est possible de changer la clé avant d’installer GLPI. Mais sur les instances existantes, les données doivent être reencrypted avec la nouvelle clé. Le problème est que nous ne pouvons pas savoir quelles colonnes ou lignes dans la base de données utilisent que; espcially de plug-ins. Modification de la clé sans mettre à jour les données prêterait au mauvais mot de passe envoyé par GLPI; mais les stocker à nouveau de l’interface utilisateur fonctionnera.
https://github.com/glpi-project/glpi/security/advisories/GHSA-j222-j9mf-h6j9
https://github.com/glpi-project/glpi/commit/efd14468c92c4da43333aa9735e65fd20cbc7c6c
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5248
