Teclib’ esta feliz de anunciar el lanzamiento de GLPI 9.5.4.
Esta versión corrige varios problemas de seguridad medios que se han descubierto recientemente. ¡Se recomienda actualizar!
Puede descargar el archivo GLPI 9.5.4 en GitHub.
Aquí está la lista de casos de seguridad detectados y corregidos en esta versión:
- Escalamiento de privilegios horizontal (CCVE-2021-21326 de [@ indevi0us] (https://github.com/indevi0us))
- Las entidades cambian de IDOR (CVE-2021-21255 por [@ indevi0us] (https://github.com/indevi0us))
- Inyección XSS en ajax / kanban (CVE-2021-21258 por [@lbpierre] (https://github.com/lbpierre))
- Inyección de XSS en la actualización del ticket (CVE-2021-21314 por [@ArianeBlow] (https://github.com/ArianeBlow))
- XSS almacenado en documentos (CVE-2021-21312 por [@RedShellSec] (https://github.com/RedShellSec))
- XSS en pestañas (CVE-2021-21313 por [@RedShellSec] (https://github.com/RedShellSec))
- XSS almacenado en el tipo de presupuesto (CVE-2021-21325 por [@lbpierre] (https://github.com/lbpierre))
- Creación de instancias de objetos remotos (CVE-2021-21327 de [@vadymsoroka] (https://github.com/vadymsoroka))
- Referencia de objeto directo inseguro (IDOR) en “Soluciones” (CVE-2021-21324 por [@ indevi0us] (https://github.com/indevi0us))
Tenga en cuenta que algunos están presentes desde hace mucho tiempo (versión 0.68), pero esta vez ninguno de estos problemas se consideró alto / crítico.
También arreglamos muchos errores, estos son los importantes:
- Continuamos trabajando para estabilizar el uso de laminas / biblioteca de correo:
- Manejar el formato RFC5987 en el encabezado Content-Disposition
- Arreglar la lógica de decodificación de adjuntos de correo electrónico
- Corregir la obtención de ID de tickets de encabezados de correo electrónico
- Para los cuadros de mando:
- Corregir recuentos de gráficos
- Agregar criterios de filtro de búsqueda para el widget por año
- Nuevo filtro ‘mis grupos’
- Varios:
- Completar metacriterios de forma genérica
- Hacer CSS personalizado a partir de entidades heredables
El registro de cambios completo está disponible para obtener más detalles.
¡Nos gustaría agradecer a todas las personas que contribuyeron a esta nueva versión y a todos los que contribuyen regularmente al proyecto GLPI!
Si necesita asistencia profesional para GLPI, consulte nuestras opciones aquí: https://glpi-project.org/es/suscripciones/