GLPI 9.5.4

Après plusieurs semaines de travail, Teclib’ a le plaisir de vous annoncer la sortie de GLPI version 9.5.4.

Cette version corrige plusieurs problèmes de sécurité de criticité moyenne qui ont été découverts récemment. La mise à jour est conseillée.

L’archive de GLPI version 9.5.4 est disponible sur GitHub.

Voici la liste des failles de sécurité découvertes et corrigées dans cette version:

  • [sécurité] Escalade horizontale de privilèges (CVE-2021-21326 par @indevi0us)
  • [sécurité] IDOR sur le switch d’entité (CVE-2021-21255 par @indevi0us)
  • [sécurité] Injection XSS sur ajax/kanban (CVE-2021-21258 par @lbpierre)
  • [sécurité] Injection XSS sur la mise à jour des tickets (CVE-2021-21314 par @ArianeBlow)
  • [sécurité] XSS stockée sur les documents (CVE-2021-21312 par @RedShellSec)
  • [sécurité] XSS sur les onglets (CVE-2021-21313 par @RedShellSec)
  • [sécurité] XSS stockée dans les types de budget (CVE-2021-21325 par @lbpierre)
  • [sécurité] Instantiation distante d’objets (CVE-2021-21327 par @vadymsoroka)
  • [sécurité] IDOR sur les “Solutions” (CVE-2021-21324 par @indevi0us)

Veuillez noter que certaines sont présentes depuis un certain temps (0.68) mais aucune n’a été considérée comme haute ou critique.

Nous avons aussi corrigé un certain nombre de bugs, voici les plus importants:

  • Problèmes avec les collecteurs mails :
    • Support du format RFC5987 dans les entêtes Content-disposition
    • Correction de la logique de décodage des pièces jointes
    • Correction de la récupération des identifiants de tickets depuis les entêtes des emails
  • Pour les tableaux de bords :
    • Correction des décomptes des graphiques
    • Ajout d’un nouveau filtre par année
    • Ajout d’un nouveau filtre pour “mes groupes”
  • Divers :
    • Peuplement des méta-critères dans un mode plus générique.
    • Les CSS personnalisée des entités sont maintenant héritables.

Voir le journal des changements complet pour plus de détails.

Nous remercions toutes les personnes qui ont contribué à cette nouvelle version et plus généralement toutes celles et ceux qui soutiennent régulièrement le projet GLPI.

Si vous avez besoin d’une assistance professionnelle pour GLPI, veuillez consulter nos options ici: https://glpi-project.org/fr/support/ 

Recommended Posts