Una nueva versión de GLPI está disponible.
Este lanzamiento soluciona algunos problemas de seguridad que han sido descubiertos recientemente. ¡Se recomienza actualizar!
Puedes descargar la nueva versión GLPI 10.0.17 archive de GitHub aquí.
Abajo puedes encontrar una lista de los problemas de seguridad que se solucionaron:
- Unauthenticated session hijacking (CVE-2024-50339)
- Account takeover through SQL injection (CVE-2024-40638)
- Users email enumeration by unauthenticated user (CVE-2024-43416)
- Account takeover without privilege escalation through the API (CVE-2024-47758)
- Account takeover via the password reset feature (CVE-2024-47761)
- Account takeover via API (CVE-2024-47760)
- Insecure account deletion by authenticated user (CVE-2024-48912)
- Authenticated SQL Injection (CVE-2024-45608)
- Authenticated SQL injection in ticket form (CVE-2024-41679)
- Stored XSS in RSS feeds (CVE-2024-45611)
- Stored XSS via document upload (CVE-2024-47759)
- Multiple reflected XSS (CVE-2024-43417, CVE-2024-43418, CVE-2024-45609, CVE-2024-45610, CVE-2024-41678)
El registro de cambios completo está disponible para más detalles.
¡Nos gustaría agradecer a todas las personas que contribuyeron a esta nueva versión y a todos aquellos que contribuyen regularmente al proyecto GLPI!
Saludos.