Le 28 janvier 2026, de nouvelles versions de GLPI ont été publiées dans le but de corriger des failles de sécurité et des bugs fonctionnels. Voici ce que l'on sait sur ces nouvelles vulnérabilités.

Les deux premières versions de GLPI de l'année 2026 ont été publiées : GLPI 11.0.5 et GLPI 10.0.23. La version pour GLPI 11 corrige 3 vulnérabilités, tandis que celle pour GLPI 10 corrige 2 vulnérabilités, avec un problème de sécurité en commun pour les deux versions.

CVE-2026-23624 - Vol de session lors du changement d'utilisateur authentifié (en externe). Cette vulnérabilité est probablement liée aux mécanismes d'authentification externe, comme LDAP et le SSO.

CVE-2026-22248 - Exécution de code à distance (RCE) via le chargement d'un fichier malveillant.

CVE-2026-22247 - Server-Side Request Forgery (SSRF) via un détournement de la fonction de Webhooks. Compte tenu du type de faiblesse, au lieu d'envoyer une notification à un service externe légitime, un attaquant pourrait forcer le serveur GLPI à effectuer des requêtes HTTP vers des ressources internes normalement inaccessibles depuis l'extérieur.

CVE-2026-22044 - Injection SQL à partir d'un utilisateur authentifié.

La vulnérabilité avec le niveau de criticité le plus élevé est la CVE-2026-22248 ("high"). Au-delà des correctifs de sécurité, ces versions améliorent la stabilité de la plateforme de GLPI grâce à la résolution de bugs et l'ajout de petites améliorations. Il suffit de regarder le dépôt GitHub de GLPI pour s'en convaincre : 265 issues ont été corrigées dans GLPI 11 et 32 issues dans GLPI 10, via ces deux nouvelles versions.

Voici un récapitulatif :

Versions affectées Référence CVE GLPI 11, GLPI 10 CVE-2026-23624 GLPI 11 CVE-2026-22248 GLPI 11 CVE-2026-22247 GLPI 10 CVE-2026-22044

Si vous disposez d'une instance de GLPI dont vous assurez la maintenance, l'installation de ces mises à jour de sécurité est recommandée. Si besoin, vous pouvez lire ce tutoriel pour vous accompagner dans cette démarche :

J'en profite aussi pour vous rappeler que GLPI 11 est une version majeure disponible depuis le 1er octobre 2025. Les principales nouveautés de cette version ont été présentées dans cet article : Nouveautés GLPI 11.