Une nouvelle version de GLPI est disponible.

Cette version corrige plusieurs problèmes de sécurité qui ont été découverts récemment. La mise à jour est conseillée!

L’archive de GLPI version 10.0.4 est disponible sur GitHub.

Vous trouverez ci-dessous la liste des corrections de problèmes de securité corrigés dans cette version :

  • SSRF aveugle dans les flux RSS et le planning (CVE-2022-39276)
  • XSS stockée dans les informations utilisateur (CVE-2022-39372)
  • XSS stockée dans le nom de l’entité (CVE-2022-39373)
  • Mauvaise validation des entrées sur les liens des emails (CVE-2022-39376)
  • Accès incorrect au panneau de débogage (CVE-2022-39370)
  • La session de l’utilisateur persiste après la suppression définitive de son compte (CVE-2022-39234)
  • XSS stockée sur la page de connexion (CVE-2022-39262)
  • XSS dans les liens externes (CVE-2022-39277)
  • XSS via un flux RSS public (CVE-2022-39375)
  • Injection SQL sur l’API REST (CVE-2022-39323)
  • XSS stockée via l’inventaire des actifs (CVE-2022-39371)

De plus, voici une liste des principaux changements de cette version :

  • Amélioration significative des performances des tableaux de bord
  • Plusieurs bugs lors du collage d’images
  • Gestion des verrous d’inventaire corrigée et améliorée
  • Affichage des cartouches d’imprimante
  • Affichage et masquage des info-bulles des acteurs dans les tickets
  • Amélioration de l’affichage des en-têtes au-dessus des formulaires
  • Déplacement des points d’arrêt sur les écrans mobiles
  • L’API d’inventaire est maintenant désactivée par défaut
  • Des droits dédiés ont été ajoutés pour l’inventaire

Voir le journal des changements complet pour plus de détails.

Nous remercions toutes les personnes qui ont contribué à cette nouvelle version et plus généralement toutes celles et ceux qui soutiennent régulièrement le projet GLPI.

Cordialement.