Une nouvelle version de GLPI est disponible.

Cette version corrige quelques problèmes de sécurité qui ont été découverts récemment. La mise à jour est conseillée !

L’archive de GLPI version 10.0.13 est disponible sur GitHub.

Vous trouverez ci-dessous la liste des corrections de problèmes de sécurité corrigés dans cette version :

  • [SECURITÉ – haute] Injection SQL à travers le moteur de recherche (CVE-2024-27096)
  • [SECURITÉ – modérée] SSRF aveugle utilisant l’instanciation arbitraire d’objets (CVE-2024-27098)
  • [SECURITÉ – modérée] XSS stockée dans les tableaux de bord (CVE-2024-27104)
  • [SECURITÉ – modérée] XSS reflétée en mode debug (CVE-2024-27914)
  • [SECURITÉ – modérée] Accès à des données sensibles via les listes déroulantes (CVE-2024-27930)
  • [SECURITÉ – modérée] Énumération des emails des utilisateurs (CVE-2024-27937)

De plus, voici une liste des principaux changements de cette version :

  • Erreur lors de la création d’un ticket ayant un SLA/OLA.
  • La réservation ayant une récurrence hebdomadaire ne marche pas.

Voir le journal des changements complet pour plus de détails.

Nous remercions toutes les personnes qui ont contribué à cette nouvelle version et plus généralement toutes celles et ceux qui soutiennent régulièrement le projet GLPI.

Cordialement.