Nowa aktualizacja GLPI 10.0.17 jest już dostępna!
Ta wersja naprawia kilka problemów bezpieczeństwa, które zostały niedawno odkryte. Zalecana jest aktualizacja!
Możesz pobrać archiwum GLPI 10.0.17 na GitHub.
Poniżej znajdziemy listę naprawionych błędów dotyczących bezpieczeństwa:
[BEZPIECZEŃSTWO – krytyczne] Nieuwierzytelnione przejęcie sesji (CVE-2024-50339)
[BEZPIECZEŃSTWO – wysokie] Przejęcie konta poprzez wstrzyknięcie kodu SQL (CVE-2024-40638)
[BEZPIECZEŃSTWO – wysokie] Wyliczanie adresów e-mail użytkowników przez nieuwierzytelnionego użytkownika (CVE-2024-43416)
[BEZPIECZEŃSTWO – wysokie] Przejęcie konta bez eskalacji uprawnień przez API (CVE-2024-47758)
[BEZPIECZEŃSTWO – wysokie] Przejęcie konta za pomocą funkcji resetowania hasła (CVE-2024-47761)
[BEZPIECZEŃSTWO – wysokie] Przejęcie konta za pomocą API (CVE-2024-47760)
[BEZPIECZEŃSTWO – wysokie] Niezabezpieczone usunięcie konta przez uwierzytelnionego użytkownika (CVE-2024-48912)
[BEZPIECZEŃSTWO – umiarkowane] Uwierzytelniony atak typu SQL Injection (CVE-2024-45608)
[BEZPIECZEŃSTWO – umiarkowane] Uwierzytelniony atak typu SQL Injection w formie zgłoszenia (CVE-2024-41679)
[BEZPIECZEŃSTWO – umiarkowane] Przechowywany atak typu XSS w kanałach RSS (CVE-2024-45611)
[BEZPIECZEŃSTWO – umiarkowane] Przechowywany atak typu XSS poprzez przesłanie dokumentu (CVE-2024-47759)
[BEZPIECZEŃSTWO – umiarkowane] Wiele odbitych ataków typu XSS (CVE-2024-43417, CVE-2024-43418, CVE-2024-45609, CVE-2024-45610, CVE-2024-41678)
Chcielibyśmy podziękować wszystkim osobom, które przyczyniły się do powstania tej nowej wersji i wszystkim tym, którzy regularnie przyczyniają się do projektu GLPI!
Zespół GLPI Polska