Passez sur GLPI 10.0.12 pour vous protéger de ces deux failles de sécurité
L'éditeur Teclib a mis en ligne une nouvelle version de GLPI dans le but d'apporter de légères améliorations, de corriger certains bugs, mais également deux failles de sécurité. Si vous utilisez GLPI 10, l'installation de cette nouvelle mise à jour mineure est recommandée.
GLPI 10.0.12 est disponible depuis le 1er février 2024 et cette version corrige deux failles de sécurité associée à un niveau de sévérité intermédiaire :
- CVE-2024-23645 : faille de sécurité de type XSS sur la page de génération des rapports
- CVE-2023-51446 : faille de sécurité de type injection LDAP pendant le processus d'authentification
Par ailleurs, voici les changements mis en avant par Teclib :
- Régression du sélecteur d’entité ne prenant plus en compte les invalidations de cache.
- Meilleure gestion des problèmes de connexion lors de la synchronisation LDAP.
- Le sélecteur d’entité chargera plus rapidement dans certains cas.
L'archive tgz de GLPI 10.0.12 est disponible sur le GitHub officiel du projet, à l'adresse suivante :
GLPI 10.0.10, 10.0.11 et 10.0.12 : des mises à jour de sécurité !
En octobre dernier, Teclib avait mis en ligne GLPI 10.0.10 pour corriger 10 vulnérabilités, dont une faille de sécurité critique permettant d'exécuter du code PHP : CVE-2023-42802. Plus récemment, en décembre 2023, Teclib a publié GLPI 10.0.11, dans le but de corriger 3 vulnérabilités, dont deux failles de sécurité de type "injection SQL". L'une d'elles est considérée comme importante : CVE-2023-43813, tout comme la vulnérabilité CVE-2023-46726 pour les configurations basées sur PHP 7.4.
En résumé, si vous utilisez GLPI 10 antérieure à la version de 10.0.10, il est urgent de passer sur la toute dernière mise à jour pour vous protéger contre diverses failles de sécurité. Avant l'installation d'une mise à jour, pensez à vérifier vos sauvegardes.
Retrouvez nos tutoriels sur l'installation de GLPI :
