Passez sur GLPI 10.0.13 pour vous protéger de 6 failles de sécurité, dont une injection SQL
Mercredi 13 mars 2024, l'éditeur Teclib a publié une nouvelle version de la solution GLPI ! Cette nouvelle version, estampillée 10.0.13, corrige au total 6 failles de sécurité. Faisons le point.
Parmi les 6 failles de sécurité corrigées par l'équipe de développeurs de GLPI, il y a 5 vulnérabilités avec une sévérité modérée et 1 vulnérabilité de type "injection SQL" associée à une sévérité élevée. Au-delà de cette injection SQL, il y a plusieurs vulnérabilités XSS et un problème de sécurité de type SSRF.
Voici la liste des vulnérabilités :
- CVE-2024-27096 (élevée) : injection SQL à travers le moteur de recherche
- CVE-2024-27098 : SSRF aveugle utilisant l’instanciation arbitraire d’objets
- CVE-2024-27104 : XSS stockée dans les tableaux de bord
- CVE-2024-27914 : XSS reflétée en mode debug
- CVE-2024-27930 : Accès à des données sensibles via les listes déroulantes
- CVE-2024-27937 : Énumération des emails des utilisateurs
À première vue, et même si ce n'est pas précisé, il faut que l'attaquant soit connecté sur l'application GLPI pour espérer exploiter l'une de ces vulnérabilités (ceci est une déduction vis-à-vis des fonctionnalités affectées). Néanmoins, il est probable que ces vulnérabilités permettent à un utilisateur standard authentifié d'élever ses privilèges, d'exécuter du code sur le serveur, ou d'accéder à des informations sensibles. Difficile d'être plus précis car Teclib ne fournit pas le moindre détail technique, ni même d'informations sur les risques potentiels.
Attention : n'installez pas la version 10.0.13, mais passez directement sur la version 10.0.14 car la précédente version a introduit deux bugs plutôt gênants, comme le mentionne cette page.
GLPI : les mises à jour de sécurité s'enchaînent
Depuis le dernier trimestre de l'année 2024, les mises à jour de sécurité s'accumulent, pour GLPI. Tout a commencé au mois d'octobre dernier lorsque Teclib a publié GLPI 10.0.10 pour corriger 10 vulnérabilités, dont une faille de sécurité critique permettant d'exécuter du code PHP : CVE-2023-42802. Puis, en décembre 2023, la version GLPI 10.0.11 a été publiée pour corriger 3 failles de sécurité (dont deux "injection SQL").
Au mois de février 2024, Teclib a publié GLPI 10.0.12 pour corriger deux failles de sécurité. Cette fois-ci, la nouvelle version permet d'en corriger 6 supplémentaires.
Si vous utilisez GLPI 10, il est temps de passer sur GLPI 10.0.13 pour vous protéger contre une bonne vingtaine de failles de sécurité. J'en profite pour vous annoncer qu'un tutoriel sur la mise à jour de GLPI sera publié dans les prochains jours !
Merci pour l’info Florian.
Dans un contexte où GLPI est installé dans mon lab sur un serveur W2019, sous Xampp, comment mettre à jour GLPI?
Je vous remercie!
Bonjour, Florian merci beaucoup pour l’information. Avez vous prévu un tutoriel pour l’update de GLPI en lien avec votre tutoriel d’installation de celui ci ? Cela serait fort utile 😉
Bonsoir,
Oui j’ai prévu un tutoriel sur la mise à jour de GLPI, d’ailleurs il est déjà prêt ! Il sortira la semaine prochaine 😉
Bonjour Florian,
Je me permets de signaler 2 erreurs de frappe sur le nom de la société « Teclic » au lieu de « Teclib ». Merci pour les tutos et les infos.
Bonjour Christophe, merci je vais corriger…