Passez sur GLPI 10.0.16 pour vous protéger de 3 failles de sécurité, dont une injection SQL !
Le 3 juillet 2024, une nouvelle version de GLPI a été publiée : la version 10.0.16. Cette mise à jour mineure apporte plusieurs améliorations en plus de corriger des bugs, ainsi que plusieurs failles de sécurité. Faisons le point.
L'éditeur Teclib a publié la 5ème mise à jour de GLPI pour cette année 2024, sans compter les mises à jour de l'agent GLPI en lui-même. Cette nouvelle version corrige trois failles de sécurité dont une injection SQL et une RCE pour de l'exécution de code à distance.
Voici des précisions à ce sujet :
- CVE-2024-37148 : un utilisateur authentifié peut exploiter une vulnérabilité d'injection SQL dans certains scripts AJAX pour modifier les données d'un autre compte utilisateur et en prendre le contrôle.
- CVE-2024-37149 : un technicien authentifié peut télécharger un script PHP malveillant et détourner le chargeur de plugins pour exécuter ce script malveillant.
- CVE-2024-37147 : un utilisateur authentifié peut attacher un document à n'importe quel élément, même s'il n'a pas d'accès en écriture à cet élément.
Pour rappel, une injection SQL permet à un attaquant d'exécuter des requêtes SQL arbitraires dans la base de données de l'application. Cela peut lui permettre de lire, modifier ou supprimer des données.
Dans le cas présent, l'injection SQL peut permettre à l'attaquant de prendre le contrôle d'un autre compte GLPI, et donc de l'application GLPI en elle-même, à condition d'être déjà connecté.
Vous pouvez récupérer cette nouvelle version sur le GitHub du projet GLPI, via ce lien GitHub. De plus, consultez l'article publié sur le site de Teclib pour en savoir plus sur les autres changements intégrés à cette version.
Les dernières mises à jour de GLPI
Si vous utilisez GLPI 10, voici un historique des dernières versions mineures publiées en 2024. Au total, ces mises à jour corrigent 13 failles de sécurité dans l'application.
- GLPI 10.0.15 - Sortie le 24 avril 2024 - Cette version corrige 2 vulnérabilités de type "injection SQL"
- GLPI 10.0.14 - Sortie le 14 mars 2024 - Cette version corrige un bug gênant introduit par la version 10.0.13
- GLPI 10.0.13 - Sortie le 13 mars 2024 - Cette version corrige 6 failles de sécurité
- GLPI 10.0.12 - Sortie le 1er février 2024 - Cette version corrige 2 failles de sécurité
Comment effectuer la mise à jour de GLPI ?
Si vous avez besoin d'aide pour mettre à jour GLPI, référez-vous à notre tutoriel via le lien ci-dessous :