Verifica delle vulnerabilità CVE in GLPI

Il modulo CVE Scan di NexTool incrocia la tua versione di GLPI con l'NVD e il GitHub Advisory Database e verifica 17 punti dell'ambiente (PHP, header, permessi), generando un Security Score da 0 a 100. Scopri come funziona, come attivarlo e gli errori di configurazione che falliscono più spesso sul campo.

La tua istanza di GLPI è esposta a vulnerabilità già catalogate senza che tu lo sappia? Nella maggior parte dei parchi che assumiamo in manutenzione, nessuno sa dire subito quale CVE riguarda la versione in produzione né se PHP ha i flag di sicurezza corretti. Il modulo CVE Scan Vulnerabilità di NexTool incrocia la versione installata con basi pubbliche di CVE e verifica 17 punti critici dell'ambiente in pochi secondi, generando un Security Score visivo.

Il problema

I team di service desk che gestiscono GLPI raramente hanno un processo formale per tracciare le vulnerabilità legate alla versione in produzione. L'NVD (NIST) e il GitHub Advisory Database pubblicano CVE di continuo, ma seguirlo a mano, versione per versione, è impraticabile per chi apre e chiude anche ticket tutto il giorno.

Peggio: la versione del software è solo metà del rischio. L'ambiente PHP e la configurazione del server introducono falle silenziose - display_errors attivo in produzione che espone percorsi e stack trace, un cookie di sessione senza HttpOnly, l'assenza di Content-Security-Policy o di Strict-Transport-Security. Ognuno di questi dettagli è una superficie d'attacco che di solito emerge solo dopo l'incidente, quando è già tardi.

Come funziona CVE Scan

All'avvio della scansione, il modulo rileva la versione tramite la costante GLPI_VERSION e la incrocia con una base dinamica di CVE costruita da tre fonti:

  • NVD / NIST - la fonte autorevole per il punteggio CVSS e i metadati ufficiali di ogni falla.
  • GitHub Advisory Database - link di advisory e dettaglio delle falle segnalate dalla comunità.
  • Base statica di riserva - garantisce la copertura anche quando le API esterne non sono disponibili o il limite di richieste è stato superato.

L'unione avviene per CVE ID: l'NVD prevale per il CVSS, GitHub fornisce i link di advisory. Una cache locale viene aggiornata ogni giorno via cron e su richiesta a ogni esecuzione manuale. In parallelo all'incrocio delle CVE, il modulo esegue 17 verifiche di sicurezza dell'ambiente, raggruppate in quattro categorie: configurazione PHP (8 check), verifiche specifiche di GLPI (3), header HTTP (3) e altre (3), come PHP a fine vita. Il risultato diventa un Security Score da 0 a 100, con una fascia di colore - rosso per critico, giallo per moderato e verde per sano - e ogni voce mostra lo stato, la versione che corregge la falla e l'istruzione di correzione.

Ciò che vede e che GLPI nativo non mostra

Punto verificatoGLPI nativoModulo CVE Scan
CVE della versione installataNessun avvisoIncrocia GLPI_VERSION con NVD e GitHub Advisory
Directory install/ dimenticataAvviso nella schermata di loginConsolidato nello score, con istruzione di rimozione
display_errors in produzioneNon verificaCheck dedicato
Header CSP / HSTS / X-Frame-OptionsNon verificaTre check di header HTTP
Permesso di config_db.phpNessun avvisoCheck dedicato
Evoluzione del rischio nel tempoAssenteSecurity Score registrato a ogni scansione

Cosa abbiamo imparato usandolo sul campo

In manutenzione, il check che fallisce più spesso in un ambiente cliente è session.cookie_secure - e quasi sempre è un falso allarme mal interpretato. GLPI è dietro un reverse proxy che termina il TLS, quindi PHP vede la connessione come http e non marca il cookie come sicuro. La correzione non è in GLPI: è sistemare l'header X-Forwarded-Proto sul proxy e forzare HSTS al bordo. Il secondo più frequente è la directory install/ dimenticata dopo il setup. GLPI lo segnala nella schermata di login, ma su un parco di decine di istanze quell'avviso passa inosservato - è lo score consolidato che obbliga il team a guardare. Per questo trattiamo CVE Scan come un termometro, non come un verdetto: indica il punto, ma la decisione di correggere alla fonte giusta resta di chi gestisce l'ambiente.

Verificare gli stessi punti a mano

Prima di installare qualsiasi cosa, puoi riprodurre parte della diagnosi direttamente sul server. Questi sono esattamente alcuni dei punti che il modulo verifica in PHP e nel filesystem:

# Flag PHP verificati da CVE Scan (da eseguire sul server GLPI)
php -i | grep -Ei 'display_errors|expose_php|allow_url_include|cookie_httponly|cookie_secure'

# Permesso del file delle credenziali del database: deve essere 400 o 440, mai 644
stat -c '%a %n' /var/www/glpi/config/config_db.php

# Directory di installazione che avrebbe dovuto essere rimossa dopo il setup
test -f /var/www/glpi/install/install.php && echo 'ALLARME: install/ ancora presente - rimuovere'

# Versione di PHP: avvisare se e a fine vita (EOL)
php -r 'echo PHP_VERSION, PHP_EOL;'

Il modulo automatizza tutto questo, aggiunge l'incrocio con le basi di CVE e conserva lo storico - ma già eseguire i comandi qui sopra mostra perché l'audit manuale non scala oltre due o tre istanze.

Come attivarlo

  1. Installa il plugin NexTool sul tuo GLPI.
  2. Vai su Configurazione > NexTool > Moduli.
  3. Individua la scheda CVE Scan Vulnerabilità, clicca su Installa e poi su Attiva.
  4. Apri il modulo e clicca su Esegui Scansione nella scheda delle funzionalità.
  5. Opzionale: inserisci un token GitHub e una API Key NVD nella scheda di configurazione per aumentare i limiti di richiesta delle basi esterne.

Per chi è (e quando no)

È per amministratori GLPI che hanno bisogno di un audit di sicurezza rapido e ricorrente, team che affrontano audit interni o esterni e servono prove dello stato dell'ambiente, e responsabili che vogliono seguire la postura di sicurezza nel tempo tramite lo storico delle scansioni. Non è una bacchetta magica: non sostituisce un pentest, non corregge nulla da solo e non deve diventare una scusa per rimandare l'aggiornamento di GLPI. Se il tuo ambiente ha già uno scanner aziendale (Nessus, Qualys) puntato sullo stesso host, CVE Scan è un complemento leggero e specifico di GLPI, non un concorrente.

Compatibilità

  • GLPI: 10.x e 11.x
  • Piano: FREE
  • Plugin: NexTool 3.x o superiore

Prossimo passo

CVE Scan Vulnerabilità fa parte di NexTool, il plugin modulare per GLPI. Scopri gli altri moduli o parla con il team per una valutazione di sicurezza completa del tuo ambiente.


Questo contenuto è stato prodotto con l'aiuto dell'intelligenza artificiale e revisionato dal team di NexTool Solutions.

Domande Frequenti

Il modulo CVE Scan di NexTool rileva la versione tramite la costante GLPI_VERSION e la incrocia con l'NVD (NIST) e il GitHub Advisory Database, oltre a eseguire 17 check di sicurezza dell'ambiente e generare un Security Score da 0 a 100.

Entrambi. Oltre alle CVE della versione installata, verifica 17 punti dell'ambiente: 8 flag di configurazione PHP, 3 verifiche GLPI (come la directory install/ e il permesso di config_db.php), 3 header HTTP (CSP, HSTS, X-Frame-Options) e altri 3, come PHP a fine vita.

Sì, con copertura ridotta. Quando l'NVD e GitHub Advisory non sono disponibili o il limite di richieste è superato, il modulo usa una base statica di riserva per non lasciare la scansione senza risultato.

Dopo ogni aggiornamento di GLPI e periodicamente (mensile è una buona cadenza). La cache delle CVE viene aggiornata ogni giorno via cron, quindi lo storico delle scansioni mostra l'evoluzione del Security Score nel tempo.

No. È un modulo FREE di NexTool, compatibile con GLPI 10 e 11.

Hai bisogno di aiuto?