23/11/2024
IT-Connect » Actualités » Actu Cybersécurité » Passez sur GLPI 10.0.10 pour vous protégez contre 10 vulnérabilités, dont 1 critique !

GLPI 10.0.10 Mise à jour de sécurité
Actu CybersécuritéLogiciel - OS

Passez sur GLPI 10.0.10 pour vous protégez contre 10 vulnérabilités, dont 1 critique !

Florian BURNEL 0 commentaire

Si vous utilisez le logiciel libre GLPI en version 10, vous devez impérativement installer la dernière version disponible à ce jour : GLPI 10.0.10. Voici pourquoi.

Pour rappel, GLPI est un logiciel libre de gestion de parc informatique qui est très populaire en entreprise et qui intègre de nombreuses fonctions : gestion des tickets pour le support informatique, inventaire du matériel, gestion des contrats, etc...

Le 25 septembre 2023, Teclib a mis en ligne une nouvelle version mineure (mais importante) de GLPI : GLPI 10.0.10. Cette mise à jour corrige 10 failles de sécurité, dont 4 vulnérabilités importantes et une vulnérabilité critique ! Il est fortement recommandé d'installer le correctif dès que possible : "Cette version corrige un problème de sécurité critique qui a été découvert récemment. La mise à jour est fortement recommandée !", peut-on lire dans l'article qui annonce cette nouvelle version.

Associée à la référence CVE-2023-42802, la faille de sécurité critique permettrait une exécution non autorisée de code PHP. Par ailleurs, trois failles de sécurité importantes permettent de prendre le contrôle d'un compte :

  • CVE-2023-41320, via une injection SQL dans l'interface des préfèrences
  • CVE-2023-41326, via la fonctionnalité Kanban
  • CVE-2023-41324, via l'API de GLPI.

Les autres vulnérabilités, qualifiées de moins importantes par l'éditeur, ne sont pas à négliger non plus, notamment celles-ci :

  • CVE-2023-42462 : suppression de fichiers lors du téléchargement de documents sur GLPI
  • CVE-2023-41322 : élévation de privilèges du rôle technicien vers administrateur
  • CVE-2023-41323 : énumération des utilisateurs de GLPI sans être authentifié
  • CVE-2023-41888 : exploiter la page de connexion dans une campagne de phishing

Par ailleurs, cette version ajoute quelques changements comme la prise en charge de PHP 8.3 et MySQL 8.1, même si PHP 8.2 est actuellement la version stable. Cette mise à jour vous permettra aussi d'utiliser des images dans dans l'éditeur rich text des modèles de suivi/tâches/solutions.

  • Prochainement, un tutoriel sur l'installation de GLPI sera mis en ligne sur IT-Connect ! Stay connected.
author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Le centre hospitalier de Villefranche-sur-Saône victime du ransomware Ryuk

Florian BURNEL 0

Google Chrome 86 : jusqu’à 2h d’autonomie supplémentaire ?

Florian BURNEL 1

Microsoft sort un nouveau kit d’icônes pour Visio

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.