Passez sur GLPI 10.0.19 pour vous protéger de ces 9 failles de sécurité
En attendant la sortie de GLPI 11, les équipes de Teclib ont mis en ligne une nouvelle version pour GLPI, à savoir GLPI 10.0.19. Cette mise à jour n'est pas à prendre à la légère puisqu'elle corrige un ensemble de 9 failles de sécurité. Faisons le point.
Le 16 juillet 2025, GLPI 10.0.19 a pointé le bout de son nez sur le GitHub du projet, et c'est une mise à jour principalement axée sur la correction de failles de sécurité. L'une de ces vulnérabilités est considérée comme importante (HIGH), tandis que pour les autres l'impact est modéré ou faible.
La vulnérabilité la plus grave est associée à la référence CVE-2025-53105. Elle est décrite de cette façon : "Mise à jour non autorisée de l’ordre d’exécution des règles" - Cette faille permettrait donc à un utilisateur malveillant de perturber le traitement des règles d’automatisation dans GLPI.
Voici un récapitulatif pour les autres vulnérabilités :
| CVE | Impact | Description |
|---|---|---|
| CVE-2025-27514 | Modéré | XSS persistant dans le kanban des projets permettant l’injection de code. |
| CVE-2025-52567 | Faible | Blind SSRF via les flux RSS et le planning, pouvant provoquer des requêtes internes. |
| CVE-2025-52897 | Modéré | XSS et redirection ouverte dans le module de planification. |
| CVE-2025-53008 | Modéré | Exfiltration possible des identifiants des récepteurs de mails. |
| CVE-2025-53357 | Modéré | Possibilité de modifier des réservations sans autorisation. |
| CVE-2025-53113 | Faible | Accès à des informations d’objets non autorisés via des liens externes. |
| CVE-2025-53111 | Modéré | Risque d’exposition de données à des utilisateurs non autorisés. |
| CVE-2025-53112 | Modéré | Suppression de données par des utilisateurs autorisés. |
GLPI n'apporte pas de détails techniques supplémentaires au sujet de ces vulnérabilités. Rien n'indique que ces vulnérabilités soient exploitées. En complément, sachez que GLPI 10.0.19 corrige un ensemble de bugs, comme vous pouvez le constater sur le dépôt GitHub.
L'application de cette mise à jour de sécurité est recommandée. Vous pouvez retrouver notre tutoriel "Comment mettre à jour GLPI ?" pour vous accompagner.
