ALT-PU-2026-5123-4

Package update glpi in branch p11

Version10.0.24-alt1

Published2026-05-23

Max severityHIGH

Severity:

Closed issues (4)

MEDIUM4.8

Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с недостатком механизма кодирования или экранирования выходных данных, позволяющая нарушителю выполнить произвольный код1

Published: 2026-05-21

CVSS 3.xMEDIUM 4.8

CVSS:3.x/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

CVSS 2.0MEDIUM 4.7

CVSS:2.0/AV:N/AC:L/Au:M/C:P/I:P/A:N

References

CVE-2026-25932

HIGH8.8

Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с непринятием мер по защите структуры запроса sql, позволяющая нарушителю выполнить произвольный код

Published: 2026-05-21

CVSS 3.xHIGH 8.8

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0CRITICAL 9.0

CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C

References

CVE-2026-29047

MEDIUM4.8

GLPI is a Free Asset and IT Management Software package. From 0.60 to before 10.0.24, an authenticated technician user can store an XSS payload in a supplier fields. This vulnerability is fixed in 10.0.24.

Published: 2026-04-06Modified: 2026-04-07

CVSS 3.xMEDIUM 4.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

References

https://github.com/glpi-project/glpi/security/advisories/GHSA-m627-945g-x7xh

HIGH8.8

GLPI is a free asset and IT management software package. From 10.0.0 to before 10.0.24 and 11.0.6, an authenticated user can perform a SQL injection via the logs export feature. This vulnerability is fixed in 10.0.24 and 11.0.6.

Published: 2026-04-06Modified: 2026-04-07

CVSS 3.xHIGH 8.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

References

https://github.com/glpi-project/glpi/security/advisories/GHSA-3m49-qf92-vccr

Closed bugs (1)

Обновить патчи безопансости 10.0.24