22/09/2024
IT-Connect » Non classé » Passez sur GLPI 10.0.16 pour vous protéger de 3 failles de sécurité, dont une injection SQL !

GLPI 10.0.16 - Mise à jour de sécurité
Non classé

Passez sur GLPI 10.0.16 pour vous protéger de 3 failles de sécurité, dont une injection SQL !

Florian BURNEL 0 commentaire

Le 3 juillet 2024, une nouvelle version de GLPI a été publiée : la version 10.0.16. Cette mise à jour mineure apporte plusieurs améliorations en plus de corriger des bugs, ainsi que plusieurs failles de sécurité. Faisons le point.

L'éditeur Teclib a publié la 5ème mise à jour de GLPI pour cette année 2024, sans compter les mises à jour de l'agent GLPI en lui-même. Cette nouvelle version corrige trois failles de sécurité dont une injection SQL et une RCE pour de l'exécution de code à distance.

Voici des précisions à ce sujet :

  • CVE-2024-37148 : un utilisateur authentifié peut exploiter une vulnérabilité d'injection SQL dans certains scripts AJAX pour modifier les données d'un autre compte utilisateur et en prendre le contrôle.
  • CVE-2024-37149 : un technicien authentifié peut télécharger un script PHP malveillant et détourner le chargeur de plugins pour exécuter ce script malveillant.
  • CVE-2024-37147 : un utilisateur authentifié peut attacher un document à n'importe quel élément, même s'il n'a pas d'accès en écriture à cet élément.

Pour rappel, une injection SQL permet à un attaquant d'exécuter des requêtes SQL arbitraires dans la base de données de l'application. Cela peut lui permettre de lire, modifier ou supprimer des données.

Dans le cas présent, l'injection SQL peut permettre à l'attaquant de prendre le contrôle d'un autre compte GLPI, et donc de l'application GLPI en elle-même, à condition d'être déjà connecté.

Vous pouvez récupérer cette nouvelle version sur le GitHub du projet GLPI, via ce lien GitHub. De plus, consultez l'article publié sur le site de Teclib pour en savoir plus sur les autres changements intégrés à cette version.

Les dernières mises à jour de GLPI

Si vous utilisez GLPI 10, voici un historique des dernières versions mineures publiées en 2024. Au total, ces mises à jour corrigent 13 failles de sécurité dans l'application.

  • GLPI 10.0.15 - Sortie le 24 avril 2024 - Cette version corrige 2 vulnérabilités de type "injection SQL"
  • GLPI 10.0.14 - Sortie le 14 mars 2024 - Cette version corrige un bug gênant introduit par la version 10.0.13
  • GLPI 10.0.13 - Sortie le 13 mars 2024 - Cette version corrige 6 failles de sécurité
  • GLPI 10.0.12 - Sortie le 1er février 2024 - Cette version corrige 2 failles de sécurité

Comment effectuer la mise à jour de GLPI ?

Si vous avez besoin d'aide pour mettre à jour GLPI, référez-vous à notre tutoriel via le lien ci-dessous :

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

AM Deadlink choix navigateur

AM Deadlink – Nettoyer vos favoris

Florian BURNEL 0

Malware Android : Escobar, la nouvelle terreur ! Comment se protéger ?

Florian BURNEL 0
Cloudflare - DDoS HTTP - Février 2023

DDoS HTTP : Cloudflare a atténué une attaque record de 71 millions de rps !

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.