Une nouvelle version de GLPI est disponible.
Cette version corrige quelques problèmes de sécurité qui ont été découverts récemment. La mise à jour est conseillée !
L’archive de GLPI version 10.0.18 est disponible sur GitHub.
Vous trouverez ci-dessous la liste des corrections de problèmes de sécurité (aucune de niveau CRITIQUE) corrigés dans cette version :
- Injection SQL par un utilisateur non authentifié via l’API d’inventaire (CVE-2025-24799)
- Exécution de code à distance par un utilisateur authentifié (CVE-2025-24801)
- Injection SQL via la configuration des règles métier (CVE-2025-21619)
- Redirection ouverte (CVE-2024-11955)
- XSS reflétée dans la page de recherche (CVE-2025-21627)
- Exposition d’information sensibles dans le script `status.php` (CVE-2025-21626)
- Désactivation des plugins par un utilisateur non authentifié (CVE-2025-23024)
- Authentification par email non autorisée à travers le plugin OAuthIMAP (CVE-2025-23046)
- Accès non autorisé au mode debug (CVE-2025-25192)
De nombreuses corrections de bug ont également été réalisées, consultez le journal des changements pour plus de détails.
Nous remercions toutes les personnes qui ont contribué à cette nouvelle version et plus généralement toutes celles et ceux qui soutiennent régulièrement le projet GLPI.
Bien cordialement.