Uma nova versão do GLPI está disponível.
Esta versão corrige alguns problemas de segurança que foram descobertos recentemente. A atualização é recomendada!
Você pode baixar o arquivo GLPI 10.0.17 no GitHub.
Você encontrará abaixo a lista de problemas de segurança corrigidos nesta versão de correção de bugs:
- Unauthenticated session hijacking (CVE-2024-50339)
- Account takeover through SQL injection (CVE-2024-40638)
- Users email enumeration by unauthenticated user (CVE-2024-43416)
- Account takeover without privilege escalation through the API (CVE-2024-47758)
- Account takeover via the password reset feature (CVE-2024-47761)
- Account takeover via API (CVE-2024-47760)
- Insecure account deletion by authenticated user (CVE-2024-48912)
- Authenticated SQL Injection (CVE-2024-45608)
- Authenticated SQL injection in ticket form (CVE-2024-41679)
- Stored XSS in RSS feeds (CVE-2024-45611)
- Stored XSS via document upload (CVE-2024-47759)
- Multiple reflected XSS (CVE-2024-43417, CVE-2024-43418, CVE-2024-45609, CVE-2024-45610, CVE-2024-41678)
O changelog completo está disponível para mais detalhes.
Gostaríamos de agradecer a todas as pessoas que contribuíram para esta nova versão e a todos aqueles que contribuem regularmente para o projeto GLPI!
Cumprimentos.