ALT-PU-2025-16291-3

Обновление пакета glpi в ветке sisyphus

Версия11.0.4-alt1

Задание#404010

Опубликовано2026-04-23

Макс. серьёзностьCRITICAL

Серьёзность:

Закрытые проблемы (4)

HIGH7.5

Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI связана с недостатками контроля доступа, позволяющая нарушителю повысить свои привилегии

Опубликовано: 2026-04-20

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:N/A:N

Ссылки

CVE-2025-64516

CRITICAL9.8

Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с непринятием мер по защите структуры запроса sql, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2026-04-22

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0КРИТИЧЕСКАЯ 10.0

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C

Ссылки

CVE-2025-66417

HIGH7.5

GLPI is a free asset and IT management software package. Prior to 10.0.21 and 11.0.3, an unauthorized user can access GLPI documents attached to any item (ticket, asset, ...). If the public FAQ is enabled, this unauthorized access can be performed by an anonymous user. This vulnerability is fixed in 10.0.21 and 11.0.3.

Опубликовано: 2026-01-15Изменено: 2026-01-21

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Ссылки

CRITICAL9.8

GLPI is a free asset and IT management software package. From 11.0.0, < 11.0.3, an unauthenticated user can perform a SQL injection through the inventory endpoint. This vulnerability is fixed in 11.0.3.

Опубликовано: 2026-01-15Изменено: 2026-01-21

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

https://github.com/glpi-project/glpi/security/advisories/GHSA-p467-682w-9cc9