Ce mercredi 24 juin 2026, GLPI a reçu deux correctifs de sécurité via la mise en ligne des versions 11.0.8 et 10.0.26. Au menu, deux failles critiques pour la version 11, dont une RCE, et 9 vulnérabilités communes aux deux versions. Voici l’essentiel à savoir.

GLPI, c’est cette solution open source de gestion de parc et de centre de services maintenue par l’éditeur français Teclib’. Tickets de support, inventaire, licences, contrats : de par ses fonctionnalités, cet outil concentre des informations sensibles. Autant dire qu’un serveur GLPI exposé et vulnérable est une cible de choix, d’où l’importance de ne pas laisser traîner ces correctifs.

Les deux versions sont disponibles dès maintenant sur le dépôt GitHub du projet. Comme le rappelle l’éditeur, “Ceci est une version de sécurité, la mise à niveau est recommandée.” – Voyons ce qu’il en est réellement.

Deux failles critiques et cinq autres spécifiques à GLPI 11

Si vous utilisez GLPI 11, c’est la version 11.0.8 que vous devez installer. Elle corrige 16 vulnérabilités au total, dont 7 qui lui sont spécifiques. Et deux d’entre elles sont classées critiques :

• CVE-2026-48482 (critique) : exécution de code à distance (RCE) via l’import de formulaire
• CVE-2026-52848 (critique) : contournement de l’authentification multifacteur (MFA)
• CVE-2026-49470 (importante) : prise de contrôle de compte via brute force du second facteur (2FA)
• CVE-2026-53610 (importante) : reflected XSS dans les tableaux de bord
• CVE-2026-53626 (importante) : lecture arbitraire de documents
• CVE-2026-55214 (importante) : stored XSS au niveau des fournisseurs
• CVE-2026-53627 (modérée) : accès inattendu à des opérations de mise à jour via l’API

Pourquoi ces failles n’affectent-elles que GLPI 11 ? Tout simplement parce qu’elles ciblent des fonctionnalités introduites avec cette version majeure. La RCE critique vise par exemple l’import de formulaire : les formulaires natifs sont une nouveauté de GLPI 11, là où GLPI 10 reposait sur le plugin FormCreator.

Deux des vulnérabilités propres à GLPI 11 visent justement ses mécanismes d’authentification renforcée. Le MFA, présenté comme l’une des principales nouveautés de GLPI 11, est vulnérable au contournement et à une prise de contrôle de compte via brute force du 2FA.

Neuf vulnérabilités communes à GLPI 11 et GLPI 10

Les neuf autres failles concernent les deux branches à la fois, à savoir GLPI 10 et GLPI 11. C’est précisément ce que corrige la version 10.0.26, qui n’embarque aucune vulnérabilité qui lui soit propre : la mettre à jour, c’est patcher l’intégralité de ces problèmes communs.

Quatre d’entre elles sont classées importantes :

• CVE-2026-47678 : injection SQL dans les listes déroulantes
• CVE-2026-47679 : suppression arbitraire de fichiers
• CVE-2026-53625 : élévation de privilèges via manipulation de dans l’API
• CVE-2026-53629 : injection SQL dans l’onglet historique

Les cinq dernières sont jugées modérées :

• CVE-2026-45801 : activation non autorisée du mode debug
• CVE-2026-49469 : injection de filtre LDAP dans la fonction d’import des utilisateurs
• CVE-2026-53628 : modification non permise de la méthode d’authentification par un administrateur
• CVE-2026-55217 : modification non autorisée des commentaires et traductions de la base de connaissances
• CVE-2026-57152 : envoi non autorisé de notifications

Au total, on arrive donc à 16 failles corrigées dans GLPI 11.0.8 (7 spécifiques + 9 communes) et 9 dans GLPI 10.0.26 (les 9 communes).

Mettez à jour sans tarder

En avril dernier, c’était GLPI 11.0.7 et 10.0.25 qui patchaient une dizaine de vulnérabilités. Cette fois, le compteur grimpe un peu plus, avec deux failles critiques à la clé sur la branche 11. Au-delà des correctifs de sécurité, ces deux versions embarquent leur lot de corrections de bugs et de petites améliorations, détaillées dans les journaux des modifications publiés sur GitHub.

Si vous administrez une instance GLPI, l’installation de ces mises à jour est recommandée. En cas de besoin, notre tutoriel pas à pas pour mettre à jour GLPI vous accompagne étape par étape. Et pour aller plus loin, vous pouvez aussi auditer la sécurité de votre serveur GLPI à l’aide de l’outil open source glpwnme, afin de vérifier l’exposition réelle de votre instance.

• Notes de version : GLPI 11.0.8 & GLPI 10.0.26