Um nova versão do GLPI está disponível.
Essa versão corrige uma série de incidentes de segurança que foram encontrados. A atualização é recomendada!
Você pode realizar o download do GLPI 10.0.18 no arquivo do GitHub.
Abaixo você encontra a lista de correções de segurança (nenhuma de nível CRÍTICO) nesta versão de ‘bugfixes’:
- Injeção SQL não autenticada através de um endpoint de inventário (CVE-2025-24799)
- Execução autenticada de código remoto (CVE-2025-24801)
- Injeção SQL através da configuração de regras (CBE-2025-21619)
- Redirecionamento aberto (CVE-2024-11955)
- XSS refletido na página de pesquisa (CVE-2025-21627)
- Exposição de informações sensíveis no endpoint
status.php(CVE-2025-21626) - Plugins desativados por usuário não autenticado (CVE-2025-23024)
- Autenticação não autorizada por e-mail usando o plugin OAuthIMAP (CVE-2025-23046)
- Acesso não autorizado ao modo de depuração (CVE-2025-25192)
Correções de bugs também foram realizadas. Leia a lista de alterações (changelog) completa para saber mais detalhes.
Gostaríamos de agradecer a todas as pessoas que contribuíram para esta nova versão e, também, para todos aqueles que contribuem regularmente para o projeto GLPI!
Atenciosamente.