Zespół programistów projektu GLPI udostępnił wersję 11.0.8, które kładzie szczególny nacisk na wzmocnienie ochrony systemu poprzez wyeliminowanie szeregu zidentyfikowanych podatności bezpieczeństwa.
Kluczowe zmiany w wersji GLPI 11.0.8
Aktualizacja wprowadza szereg poprawek technicznych w różnych modułach systemu. Do najważniejszych należą:
- Naprawiono lukę pozwalającą na zdalne wykonanie kodu (RCE) podczas importu formularzy.
- Usunięto błąd pozwalający na obejście uwierzytelniania dwuskładnikowego (MFA bypass).
- Wyeliminowano luki typu SQL injection (w rozwijanych listach oraz karcie historii).
- Zabezpieczono system przed nieautoryzowanym usuwaniem plików oraz odczytem dokumentów.
- Naprawiono błąd umożliwiający przejęcie konta poprzez atak brute force na 2FA.
- Usunięto podatności typu Reflected XSS (w pulpitach nawigacyjnych) oraz Stored XSS (w modułach dostawców).
- Zablokowano możliwość eskalacji uprawnień poprzez manipulację API uwierzytelniania.
- Naprawiono problemy związane z nieautoryzowaną aktywacją trybu debugowania.
- Zabezpieczono system przed wstrzykiwaniem kodu w filtrach LDAP oraz nieuprawnioną modyfikacją komentarzy i tłumaczeń w Bazie Wiedzy.
- Usunięto błędy w uprawnieniach API oraz obsłudze powiadomień.
Zespół GLPI dziękuje wszystkim osobom zaangażowanym w rozwój projektu oraz badaczom bezpieczeństwa za ich wkład w podnoszenie jakości systemu.