A nova versão do GLPI traz várias correções de segurança classificadas como moderadas, altas e temos uma de risco crítico, além de bugs.
Todas essas vulnerabilidades estão documentadas no CVEs abaixo:
- [SEGURANÇA - CRÍTICA] Unauthenticated session hijacking (CVE-2024-50339)
- [SEGURANÇA - ALTA] Account takeover through SQL injection (CVE-2024-40638)
- [SEGURANÇA - ALTA] Users email enumeration by unauthenticated user (CVE-2024-43416)
- [SEGURANÇA - ALTA] Account takeover without privilege escalation through the API (CVE-2024-47758)
- [SEGURANÇA - ALTA] Account takeover via the password reset feature (CVE-2024-47761)
- [SEGURANÇA - ALTA] Account takeover via API (CVE-2024-47760)
- [SEGURANÇA - ALTA] Insecure account deletion by authenticated user (CVE-2024-48912)
- [SEGURANÇA - Moderada] Authenticated SQL Injection (CVE-2024-45608)
- [SEGURANÇA - Moderada] Authenticated SQL injection in ticket form (CVE-2024-41679)
- [SEGURANÇA - Moderada] Stored XSS in RSS feeds (CVE-2024-45611)
- [SEGURANÇA - Moderada] Stored XSS via document upload (CVE-2024-47759)
- [SEGURANÇA - Moderada] Multiple reflected XSS (CVE-2024-43417, CVE-2024-43418, CVE-2024-45609, CVE-2024-45610, CVE-2024-41678)
Para mais detalhes consulte o changelog completo ou link oficial.
O item "Unauthenticated session hijacking (CVE-2024-50339)" é crítico, como solução de contorno recomendamos o filtro de acesso público ou bloqueio externo ao GLPI.
Dentro da versão podemos encontrar correções de bugs com impacto no GLPI e Inventário como: Ativos, Entidades, Chamados e Contratos, para mais detalhes clique aqui!
A versão 10.0.17 está disponível para download no repositório oficial neste link.
A Servicedesk Brasil está trabalhando na homologação desta nova versão para garantir a integridade na atualização junto a segurança, em breve daremos mais detalhes.
⚠️ No momento desse post temos um erro de impacto moderado aberto no Github do Projeto.
O erro já foi relacionado na próxima versão com uma correção proposta.
Links importantes:
Como implantar o GLPI?
Na Servicedesk Brasil cuidamos de tudo, desde a consultoria, alinhamento estratégico, implementação, automação de processos, fluxos, identidade visual personalizada, suporte, treinamento e desenvolvimento ou integração.
Nosso lema é ajudar o seu negócio crescer, aqui tem um Time esperando o seu Projeto de GLPI, permita que possamos potencializar e digitalizar os processos da sua organização!
A gente come, bebe e dorme GLPI. Somos APAIXONADOS pelo que fazemos.
Fale com um especialista: falecom@servicedeskbrasil.com.br
Nós queremos te ouvir!!!