Все бюллетени/p11/ALT-PU-2026-5123-4
ALT-PU-2026-5123-4

Обновление пакета glpi в ветке p11

Версия10.0.24-alt1
Задание#412608
Опубликовано2026-05-23
Макс. серьёзностьHIGH
Серьёзность:

Закрытые проблемы (4)

BDU:2026-07150
MEDIUM4.8

Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с недостатком механизма кодирования или экранирования выходных данных, позволяющая нарушителю выполнить произвольный код1

Опубликовано: 2026-05-21
CVSS 3.xСРЕДНЯЯ 4.8
CVSS:3.x/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
CVSS 2.0СРЕДНЯЯ 4.7
CVSS:2.0/AV:N/AC:L/Au:M/C:P/I:P/A:N
BDU:2026-07154
HIGH8.8

Уязвимость системы заявок, инцидентов и инвентаризации компьютерного оборудования GLPI, связанная с непринятием мер по защите структуры запроса sql, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2026-05-21
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS 2.0КРИТИЧЕСКАЯ 9.0
CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C
CVE-2026-25932
MEDIUM4.8

GLPI is a Free Asset and IT Management Software package. From 0.60 to before 10.0.24, an authenticated technician user can store an XSS payload in a supplier fields. This vulnerability is fixed in 10.0.24.

Опубликовано: 2026-04-06Изменено: 2026-06-17
CVSS 3.xСРЕДНЯЯ 4.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
CVE-2026-29047
HIGH8.8

GLPI is a free asset and IT management software package. From 10.0.0 to before 10.0.24 and 11.0.6, an authenticated user can perform a SQL injection via the logs export feature. This vulnerability is fixed in 10.0.24 and 11.0.6.

Опубликовано: 2026-04-06Изменено: 2026-06-17
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Закрытые ошибки (1)