GLPI 10.0.7 : Une nouvelle version de GLPI est disponible.
Cette version corrige plusieurs problèmes de sécurité qui ont été découverts récemment. La mise à jour est conseillée !
L’archive de GLPI version 10.0.7 est disponible sur GitHub.
Nous continuons de maintenir la branche 9.5 pour les corrections de sécurité et nous sortons une nouvelle version pour celle ci : GLPI 9.5.13 archive
Vous trouverez ci-dessous la liste des corrections de problèmes de securité corrigés dans cette version :
- Injection SQL et XSS stockée via une requête de l’agent d’inventaire (CVE-2023-28849).
- Prise de contrôle de compte par un utilisateur authentifié (CVE-2023-28632).
- Injection SQL via les rapports dynamyques (CVE-2023-28838).
- XSS stockée via l’administration des tableaux de bord (CVE-2023-28852).
- XSS stockée sur les liens externes (CVE-2023-28636).
- XSS reflétée in search pages (CVE-2023-28639).
- Escalade de privilèges d’un technicien à super-administrateur (CVE-2023-28634).
- SSRF aveugle dans les flux RSS (CVE-2023-28633).
De plus, voici une liste des principaux changements de cette version :
- Routeur GLPI optionnel pour permettre d’utiliser un dossier racine plus sécurisé sur le serveur web.
- Support de l’authentification Oauth pour SMTP.
- Amélioration de la fonctionnalité de téléversement des fichiers d’inventaire.
- Nombreux correctifs et améliorations sur l’inventaire natif.
- Quelques bugs sur PHP 8.2.
- Problème liés au cache sur les entités.
- Les opérateurs booléens FullText ne fonctionnent pas sur la recherche de base de connaissance.
- Résultats innatendus lors de l’utilisation de conditions négatives sur les acteurs des tickets.
- Problèmes avec les filtres/DN DAP.
- Résultats innatendus lors d’une recherche surs les catégories de la base de connaissances.
Voir le journal des changements complet pour plus de détails.
Nous remercions toutes les personnes qui ont contribué à cette nouvelle version et plus généralement toutes celles et ceux qui soutiennent régulièrement le projet GLPI.
Cordialement.