Uma nova versão do GLPI está disponível.
Esta versão corrige vários problemas críticos de segurança que foram descobertos recentemente. A atualização é fortemente recomendada!
Você pode baixar o arquivo GLPI 10.0.3 no GitHub.
Excepcionalmente, como temos problemas críticos de segurança que afetam o GLPI 9.5, também lançamos um arquivo GLPI 9.5.9.
Abaixo está a lista de problemas de segurança corrigidos nesta versão de correção de bug:
- XSS via API de registro (CVE-2022-35945)
- Vazamento de informações confidenciais devido a erro na página de login (CVE-2022-31143)
- XSS armazenado via pesquisa global (CVE-2022-31187)
- Injeção de comando usando um script de biblioteca de terceiros (CVE-2022-35914)
- SQL injection via driver de plugin (CVE-2022-35946)
- Autenticação via injeção SQL (CVE-2022-35947)
- Falsificação de solicitação cega do lado do servidor (SSRF) em feeds RSS e agendamento (CVE-2022-36112)
Além disso, aqui está uma pequena lista das principais alterações feitas nesta versão:
- Verificações de direitos mais precisas no inventário (#12610)
- Exibição do último valor inventariado para campos bloqueados (#12602)
- Permissão para usar regras para adicionar computadores como máquinas virtuais (#12572)
- Delegue a segurança do cookie de sessão ao administrador do sistema (#12302)
- Evite a falha do coletor no cabeçalho de e-mail inválido (#12232)
- Muitas correções no inventário de rede
O registro de alterações completo está disponível para mais detalhes.
Gostaríamos de agradecer a todos que contribuíram para esta nova versão e a todos que contribuem regularmente para o projeto GLPI!
Saudações.