Una nueva versión de GLPI está disponible.
Esta versión soluciona varios problemas de seguridad críticos que se han descubierto recientemente. ¡La actualización es muy recomendada!
Puede descargar el archivo GLPI 10.0.3 en GitHub.
Excepcionalmente, dado que tenemos problemas de seguridad críticos que afectan a GLPI 9.5, también publicamos un archivo de GLPI 9.5.9.
A continuación encontrará la lista de problemas de seguridad corregidos en esta versión de corrección de errores:
- XSS mediante API de registro (CVE-2022-35945)
- Fuga de información sensible por error en la página de inicio de sesión (CVE-2022-31143)
- XSS almacenado mediante búsqueda global (CVE-2022-31187)
- Inyección de comandos utilizando un script de biblioteca de terceros (CVE-2022-35914)
- Inyección SQL a través del controlador de plugins (CVE-2022-35946)
- Autenticación vía inyección SQL (CVE-2022-35947)
- Falsificación ciega de solicitud del lado del servidor (SSRF) en fuentes RSS y planificación (CVE-2022-36112)
Además, aquí hay una breve lista de cambios principales realizados en esta versión:
- Comprobaciones de derechos más precisas en el inventario (#12610)
- Visualización del último valor inventariado para campos bloqueados (#12602)
- Permiso para usar reglas para agregar computadoras como máquinas virtuales (#12572)
- Delegar la seguridad de las cookies de sesión al administrador del sistema (#12302)
- Evitar la falla del recopilador en el encabezado de correo no válido (#12232)
- Muchas correcciones en el inventario de red
El registro de cambios completo está disponible para obtener más detalles.
¡Nos gustaría agradecer a todas las personas que contribuyeron a esta nueva versión ya todos aquellos que contribuyen regularmente al proyecto GLPI!
Saludos.