De nouvelles versions de GLPI sont disponibles : 11.0.4 à destination des utilisateurs de GLPI 11, et la version 10.0.22 pour ceux qui utilisent encore GLPI 10. Quelles sont les vulnérabilités patchées ? Voici un récapitulatif.

En l’espace de 24 heures, l’éditeur Teclib a publié 4 versions de GLPI : tout d’abord les versions 11.0.3 et 10.0.21, puis ce matin, les versions 11.0.4 et 10.0.22. “Hier, la version 11.0.3 a été livrée, mais peu après, quelques régressions gênantes ont été détectées, rendant nécessaire une nouvelle version.“, précise le GitHub. Une régression s’apparente à un dommage collatéral au niveau de l’application suite à la mise à jour du code.

Il est essentiel de comprendre que les versions 11.0.3 et 11.0.4 corrigent les mêmes vulnérabilités. Cette logique s’applique aussi aux versions 10.0.21 et 10.0.22.

Les correctifs de sécurité de GLPI 11.0.4

Au sein de GLPI 11.0.4, les développeurs de GLPI ont corrigé deux vulnérabilités importantes :

• CVE-2025-64516 : cette vulnérabilité permet un accès non autorisé à des documents.
• CVE-2025-66417 : cette vulnérabilité correspond à une injection SQL exploitable sans authentification.

Les correctifs de sécurité de GLPI 10.0.22

En ce qui concerne GLPI 10.0.22, ce sont trois vulnérabilités qui ont été patchées :

• CVE-2025-64516 : une vulnérabilité identique à celle présente dans GLPI 11.
• CVE-2025-59935 : cette vulnérabilité correspond à une XSS persistante (sans authentification) via le point de terminaison d’inventaire.
• CVE-2025-64520 : cette faille de sécurité permet un accès non autorisé aux éléments de la base de connaissances, via l’API de GLPI.

D’une manière générale, et au-delà des correctifs de sécurité, ces mises à jour corrigent des bugs et apportent quelques améliorations. Tous les détails sont disponibles sur GitHub de GLPI.

Vous savez ce qu’il vous reste à faire : mettre à jour votre serveur GLPI, en veillant à la sauvegarde de vos données en amont. Si vous avez besoin d’aide, consultez notre tutoriel :

• Comment mettre à jour GLPI ?