La tua istanza di GLPI è esposta a vulnerabilità già catalogate senza che tu lo sappia? Nella maggior parte dei parchi che assumiamo in manutenzione, nessuno sa dire subito quale CVE riguarda la versione in produzione né se PHP ha i flag di sicurezza corretti. Il modulo CVE Scan Vulnerabilità di NexTool incrocia la versione installata con basi pubbliche di CVE e verifica 17 punti critici dell'ambiente in pochi secondi, generando un Security Score visivo.
Il problema
I team di service desk che gestiscono GLPI raramente hanno un processo formale per tracciare le vulnerabilità legate alla versione in produzione. L'NVD (NIST) e il GitHub Advisory Database pubblicano CVE di continuo, ma seguirlo a mano, versione per versione, è impraticabile per chi apre e chiude anche ticket tutto il giorno.
Peggio: la versione del software è solo metà del rischio. L'ambiente PHP e la configurazione del server introducono falle silenziose - display_errors attivo in produzione che espone percorsi e stack trace, un cookie di sessione senza HttpOnly, l'assenza di Content-Security-Policy o di Strict-Transport-Security. Ognuno di questi dettagli è una superficie d'attacco che di solito emerge solo dopo l'incidente, quando è già tardi.
Come funziona CVE Scan
All'avvio della scansione, il modulo rileva la versione tramite la costante GLPI_VERSION e la incrocia con una base dinamica di CVE costruita da tre fonti:
- NVD / NIST - la fonte autorevole per il punteggio CVSS e i metadati ufficiali di ogni falla.
- GitHub Advisory Database - link di advisory e dettaglio delle falle segnalate dalla comunità.
- Base statica di riserva - garantisce la copertura anche quando le API esterne non sono disponibili o il limite di richieste è stato superato.
L'unione avviene per CVE ID: l'NVD prevale per il CVSS, GitHub fornisce i link di advisory. Una cache locale viene aggiornata ogni giorno via cron e su richiesta a ogni esecuzione manuale. In parallelo all'incrocio delle CVE, il modulo esegue 17 verifiche di sicurezza dell'ambiente, raggruppate in quattro categorie: configurazione PHP (8 check), verifiche specifiche di GLPI (3), header HTTP (3) e altre (3), come PHP a fine vita. Il risultato diventa un Security Score da 0 a 100, con una fascia di colore - rosso per critico, giallo per moderato e verde per sano - e ogni voce mostra lo stato, la versione che corregge la falla e l'istruzione di correzione.
Ciò che vede e che GLPI nativo non mostra
| Punto verificato | GLPI nativo | Modulo CVE Scan |
|---|---|---|
| CVE della versione installata | Nessun avviso | Incrocia GLPI_VERSION con NVD e GitHub Advisory |
| Directory install/ dimenticata | Avviso nella schermata di login | Consolidato nello score, con istruzione di rimozione |
| display_errors in produzione | Non verifica | Check dedicato |
| Header CSP / HSTS / X-Frame-Options | Non verifica | Tre check di header HTTP |
| Permesso di config_db.php | Nessun avviso | Check dedicato |
| Evoluzione del rischio nel tempo | Assente | Security Score registrato a ogni scansione |
Cosa abbiamo imparato usandolo sul campo
In manutenzione, il check che fallisce più spesso in un ambiente cliente è session.cookie_secure - e quasi sempre è un falso allarme mal interpretato. GLPI è dietro un reverse proxy che termina il TLS, quindi PHP vede la connessione come http e non marca il cookie come sicuro. La correzione non è in GLPI: è sistemare l'header X-Forwarded-Proto sul proxy e forzare HSTS al bordo. Il secondo più frequente è la directory install/ dimenticata dopo il setup. GLPI lo segnala nella schermata di login, ma su un parco di decine di istanze quell'avviso passa inosservato - è lo score consolidato che obbliga il team a guardare. Per questo trattiamo CVE Scan come un termometro, non come un verdetto: indica il punto, ma la decisione di correggere alla fonte giusta resta di chi gestisce l'ambiente.
Verificare gli stessi punti a mano
Prima di installare qualsiasi cosa, puoi riprodurre parte della diagnosi direttamente sul server. Questi sono esattamente alcuni dei punti che il modulo verifica in PHP e nel filesystem:
# Flag PHP verificati da CVE Scan (da eseguire sul server GLPI)
php -i | grep -Ei 'display_errors|expose_php|allow_url_include|cookie_httponly|cookie_secure'
# Permesso del file delle credenziali del database: deve essere 400 o 440, mai 644
stat -c '%a %n' /var/www/glpi/config/config_db.php
# Directory di installazione che avrebbe dovuto essere rimossa dopo il setup
test -f /var/www/glpi/install/install.php && echo 'ALLARME: install/ ancora presente - rimuovere'
# Versione di PHP: avvisare se e a fine vita (EOL)
php -r 'echo PHP_VERSION, PHP_EOL;'
Il modulo automatizza tutto questo, aggiunge l'incrocio con le basi di CVE e conserva lo storico - ma già eseguire i comandi qui sopra mostra perché l'audit manuale non scala oltre due o tre istanze.
Come attivarlo
- Installa il plugin NexTool sul tuo GLPI.
- Vai su Configurazione > NexTool > Moduli.
- Individua la scheda CVE Scan Vulnerabilità, clicca su Installa e poi su Attiva.
- Apri il modulo e clicca su Esegui Scansione nella scheda delle funzionalità.
- Opzionale: inserisci un token GitHub e una API Key NVD nella scheda di configurazione per aumentare i limiti di richiesta delle basi esterne.
Per chi è (e quando no)
È per amministratori GLPI che hanno bisogno di un audit di sicurezza rapido e ricorrente, team che affrontano audit interni o esterni e servono prove dello stato dell'ambiente, e responsabili che vogliono seguire la postura di sicurezza nel tempo tramite lo storico delle scansioni. Non è una bacchetta magica: non sostituisce un pentest, non corregge nulla da solo e non deve diventare una scusa per rimandare l'aggiornamento di GLPI. Se il tuo ambiente ha già uno scanner aziendale (Nessus, Qualys) puntato sullo stesso host, CVE Scan è un complemento leggero e specifico di GLPI, non un concorrente.
Compatibilità
- GLPI: 10.x e 11.x
- Piano: FREE
- Plugin: NexTool 3.x o superiore
Prossimo passo
CVE Scan Vulnerabilità fa parte di NexTool, il plugin modulare per GLPI. Scopri gli altri moduli o parla con il team per una valutazione di sicurezza completa del tuo ambiente.
Questo contenuto è stato prodotto con l'aiuto dell'intelligenza artificiale e revisionato dal team di NexTool Solutions.