Multiples vulnérabilités dont une critique dans GLPI
Plusieurs vulnérabilités dont une critique dans GLPI, exposant les systèmes à des risques d'exécution de code à distance, d'injections SQL et de XSS.
Publié le par Emmanuel LASTRA 1 min de lecture
Le CERT-FR a publié le 7 avril 2026 l’avis CERTFR-2026-AVI-0401 signalant plusieurs vulnérabilités affectant GLPI. Ces failles permettent notamment à un attaquant d’exécuter du code arbitraire à distance, d’exploiter des injections SQL (SQLi) et des injections de code indirecte (XSS).
Ces vulnérabilités exposent directement les systèmes à des compromissions graves, avec des impacts potentiels sur la confidentialité et l’intégrité des données.
Vulnérabilités concernées
- CVE-2026-25932 (Score 7.2 - élevé) - XSS stocké dans certains champs fournisseur. Concerne les versions >= 0.60, < 10.0.24. Corrigé en 10.0.24.
- CVE-2026-26026 (Score 9.1 - critique) - Template injection permettant une RCE pour un administrateur. Concerne les versions >= 11.0.0, < 11.0.6. Corrigé en 11.0.6.
- CVE-2026-26027 (Score 7.5 - élevé) - XSS via l’endpoint d’inventaire (utilisateur non authentifié). Concerne les versions >= 11.0.0, < 11.0.6. Corrigé en 11.0.6.
- CVE-2026-26263 (Score 8.1 - élevé) - SQLi (time-based blind) dans le moteur de recherche (non authentifié). Concerne les versions >= 11.0.0, < 11.0.6. Corrigé en 11.0.6.
- CVE-2026-29047 (Score 7.2 - élevé) - SQLi via l’export des logs. Concerne les versions >= 10.0.0, < 10.0.24 et >= 11.0.0-alpha, < 11.0.6. Corrigé en 10.0.24 et 11.0.6.
Versions concernées
- GLPI 11.0.0 à 11.0.5 (toutes affectées par plusieurs CVE listées) : corriger vers 11.0.6 ou ultérieur.
- GLPI 10.0.0 à 10.0.23 (et certaines versions antérieures de la branche 10.x) : corriger vers 10.0.24 ou ultérieur.
- Certaines vulnérabilités touchent également des versions historiques (à partir de 0.60) avant la série 10.x ; voir CVE-2026-25932 pour les détails.
Il est recommandé de mettre à jour vers les versions corrigées dès que possible.