Une nouvelle version de GLPI est disponible : GLPI 10.0.10

Cette version corrige plusieurs problèmes de sécurité qui ont été découverts récemment. La mise à jour est conseillée !

L’archive de GLPI version 10.0.10 est disponible sur GitHub.

Vous trouverez ci-dessous la liste des corrections de problèmes de securité corrigés dans cette version :

  • Prise de contrôle de compte via injection SQL dans les préférences de disposition (CVE-2023-41320).
  • Prise de contrôle de compte via la fonctionnalité Kanban (CVE-2023-41326).
  • Prise de contrôle de compte via l’API (CVE-2023-41324).
  • Énumération des champs sensibles via API (CVE-2023-41321).
  • Escalade des privilèges du technicien au super-administrateur (CVE-2023-41322).
  • Énumération des noms d’utilisateurs par un utilisateur non authentifié (CVE-2023-41323).
  • Phishing via une URL malveillante de page de connexion (CVE-2023-41888).

De plus, voici une liste des principaux changements de cette version :

  • Support de PHP 8.3 et de MySQL 8.1.
  • Support de l’ajout d’images dans les gabarits de suivis/tâches/solutions.
  • Amélioration des performances du rendu de la timeline des tickets.
  • Corrections de problèmes avec l’utilisation des options bind de l’authentification LDAP.
  • Correction d’erreurs sur le calcul des niveaux de SLA/OLA.
  • Correction d’erreurs sur les recherches sur des champs numériques ou date.

Voir le journal des changements complet pour plus de détails.

Nous remercions toutes les personnes qui ont contribué à cette nouvelle version et plus généralement toutes celles et ceux qui soutiennent régulièrement le projet GLPI.

Cordialement.