Une nouvelle version de GLPI est disponible !

Cette version corrige quelques problèmes de sécurité qui ont été découverts récemment. La mise à jour est conseillée !

L’archive de GLPI version 10.0.17 est disponible sur GitHub.

Vous trouverez ci-dessous la liste des corrections de problèmes de sécurité corrigés dans cette version :

  • Vol de session par un utilisateur non authentifié (CVE-2024-50339)
  • Vol de compte via injection SQL (CVE-2024-40638)
  • Énumération des adresses email par un utilisateur non authentifié (CVE-2024-43416)
  • Vol de compte sans escalade de privilèges via l’API (CVE-2024-47758)
  • Vol de compte via la fonctionnalité de réinitialisation de mot de passe (CVE-2024-47761)
  • Vol de compte via l’API (CVE-2024-47760)
  • Suppression de compte non autorisée par un utilisateur authentifié (CVE-2024-48912)
  • Injection SQL par un utilisateur authentifié (CVE-2024-45608)
  • Injection SQL dans le formulaire des tickets (CVE-2024-41679)
  • XSS stockée dans les flux RSS (CVE-2024-45611)
  • XSS stockée dans les documents téléversés (CVE-2024-47759)
  • Multiples XSS reflétées (CVE-2024-43417, CVE-2024-43418, CVE-2024-45609, CVE-2024-45610, CVE-2024-41678)

De nombreuses corrections de bug ont également été réalisées, consultez le journal des changements pour plus de détails.

Nous remercions toutes les personnes qui ont contribué à cette nouvelle version et plus généralement toutes celles et ceux qui soutiennent régulièrement le projet GLPI.

Bien cordialement.

Suivez-nous sur nos réseaux sociaux pour ne rien manquer !