26/12/2024

Actu Cybersécurité

Passez sur GLPI 10.0.12 pour vous protéger de ces deux failles de sécurité

L'éditeur Teclib a mis en ligne une nouvelle version de GLPI dans le but d'apporter de légères améliorations, de corriger certains bugs, mais également deux failles de sécurité. Si vous utilisez GLPI 10, l'installation de cette nouvelle mise à jour mineure est recommandée.

GLPI 10.0.12 est disponible depuis le 1er février 2024 et cette version corrige deux failles de sécurité associée à un niveau de sévérité intermédiaire :

  • CVE-2024-23645 : faille de sécurité de type XSS sur la page de génération des rapports
  • CVE-2023-51446 : faille de sécurité de type injection LDAP pendant le processus d'authentification

Par ailleurs, voici les changements mis en avant par Teclib :

  • Régression du sélecteur d’entité ne prenant plus en compte les invalidations de cache.
  • Meilleure gestion des problèmes de connexion lors de la synchronisation LDAP.
  • Le sélecteur d’entité chargera plus rapidement dans certains cas.

L'archive tgz de GLPI 10.0.12 est disponible sur le GitHub officiel du projet, à l'adresse suivante :

GLPI 10.0.10, 10.0.11 et 10.0.12 : des mises à jour de sécurité !

En octobre dernier, Teclib avait mis en ligne GLPI 10.0.10 pour corriger 10 vulnérabilités, dont une faille de sécurité critique permettant d'exécuter du code PHP : CVE-2023-42802. Plus récemment, en décembre 2023, Teclib a publié GLPI 10.0.11, dans le but de corriger 3 vulnérabilités, dont deux failles de sécurité de type "injection SQL". L'une d'elles est considérée comme importante : CVE-2023-43813, tout comme la vulnérabilité CVE-2023-46726 pour les configurations basées sur PHP 7.4.

En résumé, si vous utilisez GLPI 10 antérieure à la version de 10.0.10, il est urgent de passer sur la toute dernière mise à jour pour vous protéger contre diverses failles de sécurité. Avant l'installation d'une mise à jour, pensez à vérifier vos sauvegardes.

Retrouvez nos tutoriels sur l'installation de GLPI :

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.