GLPI 11.0.7 & GLPI 10.0.25 : une dizaine de vulnérabilités patchées !

30 avril 2026
Actu Cybersécurité

GLPI 11.0.7 & GLPI 10.0.25 : une dizaine de vulnérabilités patchées !

L’équipe de GLPI vient de lever le voile sur deux nouvelles mises à jour de sécurité : 11.0.7 et 10.0.25. Au total, une dizaine de vulnérabilités ont été corrigées dans GLPI 11, ainsi que dans GLPI 10, l’ancienne version toujours maintenue.

GLPI 11.0.7

La 7ème mise à jour mineure de GLPI 11 a été publiée le mercredi 29 avril 2026. Si je publie cet article aujourd’hui, c’est parce qu’elle permet de patcher un bel ensemble de vulnérabilités : 13 au total, rien que dans GLPI 11. Parmi ces vulnérabilités, il y en a 4 considérées comme importantes, que je vous propose de découvrir plus en détail.

Il y a notamment deux vulnérabilités de Stored XSS. Ce type de faille peut permettre, en théorie, d’injecter un script malveillant qui sera ensuite stocké sur le serveur où est exécutée l’application vulnérable.

  • CVE-2026-40108 : Stored XSS dans le module de gestion des coûts ITIL.
  • CVE-2026-5385 : Stored XSS dans le module de base de connaissances.

Outre les risques d’injection de scripts, deux autres vulnérabilités importantes exposent les instances GLPI à la suppression de données et d’éléments :

  • CVE-2026-42318 : une vulnérabilité permettant la suppression arbitraire d’éléments au travers de la planification.
  • CVE-2026-42317 : une faille permettant la suppression arbitraire de fichiers par un utilisateur ayant un profil de technicien.

Pour le reste, quatre vulnérabilités ont été patchées dans la fonctionnalité Webhooks de GLPI. Vous pouvez retrouver le journal des modifications complet sur GitHub.

Si vous souhaitez en savoir plus sur GLPI 11, je vous invite à consulter cet article :

GLPI 10.0.25

Le 29 avril 2026, la version 10.0.25 de GLPI 10 a également été publiée. Elle permet de patcher un ensemble de sept failles de sécurité. Si le nombre de correctifs est inférieur, c’est normal : certaines vulnérabilités sont liées à des fonctionnalités uniquement disponibles dans GLPI 11, comme celles liées aux Webhooks.

Ce qu’il faut retenir, c’est que GLPI 10.0.25 corrige les quatre vulnérabilités importantes détaillées ci-dessus et également présentes dans GLPI 11. Là encore, tous les détails sont disponibles dans le journal des modifications publié sur GitHub.

Comme toujours, je ne peux que vous recommander de procéder à une mise à jour de votre instance GLPI. Si vous avez besoin d’aide, consultez ce tutoriel :

SOURCE