GLPI 10.0.3 disponible.
Cette version corrige plusieurs problèmes de sécurité critiques qui ont été découverts récemment. La mise à jour est fortement conseillée!
L’archive de GLPI version 10.0.3 est disponible sur GitHub.
Exceptionnellement, comme nous avons des problèmes de sécurité critiques qui affectent GLPI 9.5, nous publions aussi une archive GLPI 9.5.9.
Vous trouverez ci-dessous la liste des corrections de problemes de securité corrigés dans cette version :
- XSS via l’API d’enregistrement (CVE-2022-35945)
- Fuite de données sensibles à travers la page d’authentification (CVE-2022-31143)
- XSS stockée via la recherche globale (CVE-2022-31187)
- Injection de commande par l’intermédiaire d’un script d’une bibliothèque tierce (CVE-2022-35914)
- Injection SQL via le contrôleur de plugins (CVE-2022-35946)
- Authentification par injection SQL (CVE-2022-35947)
- SSRF aveugle dans les flux RSS et le planning (CVE-2022-36112)
De plus, voici une liste des principaux changements de cette version :
- Gestion des droits plus précise pour l’inventaire (#12610)
- Affichage de la dernière donnée inventoriée au niveau des champs verrouillés (#12602)
- Support de l’ajout d’ordinateurs en temps que machines virtuelles via les règles (#12572)
- Délégation de la sécurité des cookies à l’administrateur système (#12302)
- Prévention de l’échec du collecteur quand l’entête d’un email est invalide (#12232)
- Nombreux correctifs sur l’inventaire réseau
Voir le journal des changements complets pour plus de détails.
Nous remercions toutes les personnes qui ont contribué à cette nouvelle version et plus généralement toutes celles et ceux qui soutiennent régulièrement le projet GLPI.
Découvrez toutes les fonctionnalités GLPI maintenant : https://glpi-project.org/fr/fonctionnalites/
Cordialement.