Dostępna jest nowa wersja GLPI!
W tej wersji naprawiono kilka niedawno wykrytych problemów związanych z bezpieczeństwem. Zalecana jest aktualizacja!
Możesz pobrać archiwum GLPI 10.0.17 na GitHubie.
Poniżej znajdziesz listę problemów bezpieczeństwa naprawionych w tej wersji z poprawkami błędów:
- Unauthenticated session hijacking (CVE-2024-50339)
- Account takeover through SQL injection (CVE-2024-40638)
- Users email enumeration by unauthenticated user (CVE-2024-43416)
- Account takeover without privilege escalation through the API (CVE-2024-47758)
- Account takeover via the password reset feature (CVE-2024-47761)
- Account takeover via API (CVE-2024-47760)
- Insecure account deletion by authenticated user (CVE-2024-48912)
- Authenticated SQL Injection (CVE-2024-45608)
- Authenticated SQL injection in ticket form (CVE-2024-41679)
- Stored XSS in RSS feeds (CVE-2024-45611)
- Stored XSS via document upload (CVE-2024-47759)
- Multiple reflected XSS (CVE-2024-43417, CVE-2024-43418, CVE-2024-45609, CVE-2024-45610, CVE-2024-41678)
Pełny dziennik zmian jest dostępny, aby uzyskać więcej szczegółów.
Chcielibyśmy podziękować wszystkim osobom, które przyczyniły się do powstania tej nowej wersji oraz wszystkim, którzy regularnie przyczyniają się do projektu GLPI!
Pozdrowienia.