Une nouvelle version de GLPI est disponible.
Cette version corrige plusieurs problèmes de sécurité qui ont été découverts récemment. La mise à jour est conseillée!
L’archive de GLPI version 10.0.4 est disponible sur GitHub.
Vous trouverez ci-dessous la liste des corrections de problèmes de securité corrigés dans cette version :
- SSRF aveugle dans les flux RSS et le planning (CVE-2022-39276)
- XSS stockée dans les informations utilisateur (CVE-2022-39372)
- XSS stockée dans le nom de l’entité (CVE-2022-39373)
- Mauvaise validation des entrées sur les liens des emails (CVE-2022-39376)
- Accès incorrect au panneau de débogage (CVE-2022-39370)
- La session de l’utilisateur persiste après la suppression définitive de son compte (CVE-2022-39234)
- XSS stockée sur la page de connexion (CVE-2022-39262)
- XSS dans les liens externes (CVE-2022-39277)
- XSS via un flux RSS public (CVE-2022-39375)
- Injection SQL sur l’API REST (CVE-2022-39323)
- XSS stockée via l’inventaire des actifs (CVE-2022-39371)
De plus, voici une liste des principaux changements de cette version :
- Amélioration significative des performances des tableaux de bord
- Plusieurs bugs lors du collage d’images
- Gestion des verrous d’inventaire corrigée et améliorée
- Affichage des cartouches d’imprimante
- Affichage et masquage des info-bulles des acteurs dans les tickets
- Amélioration de l’affichage des en-têtes au-dessus des formulaires
- Déplacement des points d’arrêt sur les écrans mobiles
- L’API d’inventaire est maintenant désactivée par défaut
- Des droits dédiés ont été ajoutés pour l’inventaire
Voir le journal des changements complet pour plus de détails.
Nous remercions toutes les personnes qui ont contribué à cette nouvelle version et plus généralement toutes celles et ceux qui soutiennent régulièrement le projet GLPI.
Cordialement.