Nombre de lecteurs : 8
GLPI 11.0.8 et 10.0.26 : 16 failles patchées, dont 2 critiques

GLPI publie des mises à jour de sécurité : 16 vulnérabilités corrigées

Ce mercredi 24 juin 2026, GLPI a annoncé la mise à jour de ses versions 11.0.8 et 10.0.26, corrigeant un total de 16 vulnérabilités, dont deux critiques pour la version 11, incluant une exécution de code à distance (RCE).

GLPI, une solution open source de gestion de parc et de centre de services développée par l’éditeur français Teclib’, gère des informations sensibles telles que des tickets de support, des inventaires, des licences et des contrats. Un serveur GLPI exposé et non sécurisé représente un risque important, d’où l’urgence de déployer ces correctifs.

Les nouvelles versions sont désormais disponibles sur le dépôt GitHub du projet. Teclib’ souligne que ces mises à jour sont essentielles, indiquant que « ceci est une version de sécurité, la mise à niveau est recommandée ».

Deux failles critiques et cinq autres spécifiques à GLPI 11

Pour les utilisateurs de GLPI 11, la version 11.0.8 corrige 16 vulnérabilités, dont 7 spécifiques à cette version. Parmi celles-ci, deux sont classées critiques :

  • CVE-2026-48482 : exécution de code à distance (RCE) via l’import de formulaire.
  • CVE-2026-52848 : contournement de l’authentification multifacteur (MFA).

Les autres vulnérabilités notables incluent :

  • CVE-2026-49470 : prise de contrôle de compte via brute force du second facteur (2FA).
  • CVE-2026-53610 : XSS réfléchi dans les tableaux de bord.
  • CVE-2026-53626 : lecture arbitraire de documents.
  • CVE-2026-55214 : XSS stocké au niveau des fournisseurs.
  • CVE-2026-53627 : accès inattendu à des opérations de mise à jour via l’API.

Ces failles affectent spécifiquement GLPI 11 en raison de fonctionnalités introduites dans cette version majeure, telles que l’import de formulaires natifs.

Neuf vulnérabilités communes à GLPI 11 et GLPI 10

La version 10.0.26 corrige également 9 vulnérabilités communes aux deux branches. Quatre d’entre elles sont considérées comme importantes :

  • CVE-2026-47678 : injection SQL dans les listes déroulantes.
  • CVE-2026-47679 : suppression arbitraire de fichiers.
  • CVE-2026-53625 : élévation de privilèges via manipulation de authtype dans l’API.
  • CVE-2026-53629 : injection SQL dans l’onglet historique.

Les cinq autres vulnérabilités sont jugées modérées, touchant divers aspects de la sécurité du système.

Mise à jour recommandée

Cette mise à jour fait suite à la précédente en avril, où GLPI 11.0.7 et 10.0.25 avaient corrigé une dizaine de vulnérabilités. Les administrateurs d’instances GLPI sont fortement encouragés à installer ces mises à jour pour garantir la sécurité de leurs systèmes.

Pour plus d’informations sur la mise à jour de GLPI, les utilisateurs peuvent consulter le tutoriel disponible sur le site de Teclib’.

Source : Teclib’

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *