GLPI : Blind XSS → ATO → SSTI → RCE — anatomie d'une chaîne 0-day

Fri, 03 Apr 2026 18:09:52 +0100

Note de transparence — Cette recherche a été conduite avec l’assistance de Claude Opus 4.6 (Anthropic), utilisé par BZHunt dans son processus de R&D. Toutes les vulnérabilités ont été identifiées, vérifiées et exploitées par des chercheurs humains. Nous faisons le choix de la transparence sur l’usage de l’IA dans nos travaux, dans l’attente que des standards clairs émergent sur ce sujet.

TL;DR — CVE-2026-26026 (SSTI→RCE, Critique) et CVE-2026-26027 (Blind Stored XSS, Haute) dans GLPI 11.0.0–11.0.5 permettent de chaîner une Blind Stored XSS non authentifiée avec une Server-Side Template Injection (SSTI) pour obtenir une exécution de code à distance (RCE) sans aucun compte préalable. Score CVSS : 9.1 / Critical (CVE-2026-26026). Patch : GLPI 11.0.6 (3 mars 2026).

CVSS 3.1, CVSSv4 et EPSS : le guide du RSSI pour prioriser sans se noyer

Fri, 02 Jan 2026 08:00:00 +0100

TL;DR — Un score CVSS élevé ne signifie pas qu’une vulnérabilité sera exploitée demain. Un score EPSS faible ne signifie pas qu’elle ne le sera jamais. La vraie priorisation naît de la combinaison des deux — contextualisée par votre exposition réelle. Ce guide vous explique tout, avec une calculette interactive pour calculer vos score CVSS !

Pourquoi ce guide ?

Chez BZHunt, nos pentesters publient régulièrement des CVE. À chaque publication, la même question revient de la part des RSSI : “9.8, c’est grave ?”. La réponse honnête est : ça dépend. Pas de votre infrastructure en premier lieu, mais de ce que vous lisez réellement dans ce score.

Vulnerability-Research on BZHunt

GLPI : Blind XSS → ATO → SSTI → RCE — anatomie d'une chaîne 0-day

CVSS 3.1, CVSSv4 et EPSS : le guide du RSSI pour prioriser sans se noyer

Pourquoi ce guide ?