GLPI : 15 failles patchées, dont une RCE critique !
L’éditeur Teclib’ a publié ce 29 juin 2026 un avis de sécurité concernant plusieurs de ses plugins communautaires à destination de GLPI. Au sommet de la pile de vulnérabilités, une faille d’exécution de code à distance (RCE) jugée critique dans le plugin GenericObject. Voici l’essentiel à savoir sur ces patchs de sécurité.
Une RCE critique dans GenericObject
C’est la vulnérabilité à traiter en priorité. Selon l’avis publié par GLPI, le plugin GenericObject, utilisé pour créer des types d’objets et d’actifs personnalisés dans GLPI, est exposé à une faille permettant une exécution de code à distance. Considérée comme critique, elle hérite d’un score CVSS de 8,9 sur 10. Une faille de sécurité comme celle-ci peut permettre à un attaquant d’exécuter du code arbitraire sur l’instance GLPI vulnérable, ce qui peut avoir des conséquences graves sur le serveur, car il héberge un outil qui centralise l’inventaire et la gestion du parc informatique.
Les autres vulnérabilités
GenericObject n’est pas le seul plugin concerné. Le bulletin de sécurité référence un ensemble de 15 vulnérabilités réparties dans plusieurs plugins communautaires, incluant des failles de type injections SQL et des failles de type XSS (Cross-Site Scripting).
Un tableau récapitulatif issu du bulletin de sécurité de GLPI présente les détails suivants :
| Plugin | Type de vulnérabilité | CVSS | Gravité | GLPI 10 | GLPI 11 |
|---|---|---|---|---|---|
| GenericObject | Exécution de code à distance (RCE) | 8,9 | Critique | ✅ | ❌ |
| Injection SQL (SQLi) | 6,1 | Moyenne | ❌ | ✅ | |
| Datainjection | Injection SQL (SQLi) | 7,1 | Élevée | ❌ | ✅ |
| Formcreator | Cross-Site Scripting (XSS) | 6,7 | Moyenne | ✅ | ❌ |
| Escalade | Défaut de contrôle d’accès | 7,7 | Élevée | ✅ | ✅ |
| Credit | Défaut de contrôle d’accès | 7,7 | Élevée | ✅ | ✅ |
| Fields | Cross-Site Scripting (XSS) | 7,3 | Élevée | ❌ | ✅ |
| Order | Cross-Site Scripting (XSS) – 3 failles | 7,3 | Élevée | ❌ | ✅ |
| Treeview | Cross-Site Scripting (XSS) | 7,3 | Élevée | ❌ | ✅ |
| Tag | Cross-Site Scripting (XSS) | 7,3 | Élevée | ❌ | ✅ |
| Oauthimap | Cross-Site Scripting (XSS) | 7,3 | Élevée | ❌ | ✅ |
| Glpinventory | Défaut de contrôle d’accès | 6,3 | Moyenne | ❌ | ✅ |
| Glpinventory | Cross-Site Scripting (XSS) | 7,3 | Élevée | ✅ | ✅ |
Pour rappel, Teclib’ avait précédemment corrigé seize failles dans GLPI 11.0.8 et 10.0.26, dont deux critiques. Désormais, c’est au tour des plugins d’être renforcés.
GLPI Network Cloud déjà patché
Les organisations qui ne gèrent pas elles-mêmes leur instance GLPI peuvent se réjouir : l’ensemble des correctifs relatifs à ces plugins a déjà été déployé sur les plateformes GLPI Network Cloud Public et Private. Aucune action n’est requise pour les instances hébergées dans ces environnements managés. La responsabilité de la mise à jour incombe donc aux administrateurs d’instances auto-hébergées.
Source : GLPI Project
