No dia 12 de fevereiro de 2025, o projeto GLPI anunciou o lançamento da versão 10.0.18 do seu software de gerenciamento de serviços de TI. Esta atualização aborda diversas vulnerabilidades de segurança identificadas recentemente, e a equipe recomenda que todos os usuários atualizem seus sistemas para garantir a proteção de seus ambientes.
Além das correções de segurança, esta versão inclui melhorias gerais e resoluções de bugs para aprimorar a estabilidade e a eficiência do sistema. Para uma compreensão detalhada das alterações implementadas, os usuários podem consultar o changelog completo fornecido no repositório.
Principais correções de segurança na versão 10.0.18:
- Injeção SQL não autenticada através de um endpoint de inventário (CVE-2025-24799): Correção de uma vulnerabilidade que permitia a execução de comandos SQL maliciosos sem a necessidade de autenticação, potencialmente comprometendo a integridade dos dados.
- Execução autenticada de código remoto (CVE-2025-24801): Resolução de uma falha que poderia permitir a usuários autenticados executarem código arbitrário no servidor, colocando em risco a segurança do sistema.
- Injeção SQL através da configuração de regras (CBE-2025-21619): Correção de uma vulnerabilidade onde entradas maliciosas nas configurações de regras poderiam resultar na execução de comandos SQL indesejados.
- Redirecionamento aberto (CVE-2024-11955): Ajuste em uma falha que permitia o redirecionamento de usuários para URLs externas não confiáveis, potencialmente expondo-os a riscos de phishing.
- XSS refletido na página de pesquisa (CVE-2025-21627): Correção de uma vulnerabilidade de Cross-Site Scripting que poderia permitir a execução de scripts maliciosos na página de resultados de pesquisa.
- Exposição de informações sensíveis no endpoint
status.php(CVE-2025-21626): Resolução de uma falha onde informações sensíveis poderiam ser expostas através do endpointstatus.php, comprometendo a confidencialidade dos dados.
- Plugins desativados por usuário não autenticado (CVE-2025-23024): Correção de uma vulnerabilidade que permitia a desativação de plugins por usuários não autenticados, afetando a funcionalidade do sistema.
- Autenticação não autorizada por e-mail usando o plugin OAuthIMAP (CVE-2025-23046): Resolução de uma falha que permitia a autenticação não autorizada através de e-mail utilizando o plugin OAuthIMAP, potencialmente concedendo acesso indevido ao sistema.
- Acesso não autorizado ao modo de depuração (CVE-2025-25192): Correção de uma vulnerabilidade que permitia a ativação do modo de depuração por usuários não autorizados, expondo informações internas do sistema.
Para garantir a segurança e a integridade do seu ambiente GLPI, é altamente recomendável proceder com a atualização para a versão 10.0.18 o mais breve possível.
Precisa de ajuda para o atualizar seu GLPI?
Para garantir que sua empresa aproveite ao máximo as funcionalidades e benefícios da versão mais recente do GLPI, é essencial contar com suporte especializado. A I9aTech é parceira GLPI oferece serviços completos de implementação, customização e manutenção do GLPI, assegurando que o sistema esteja perfeitamente alinhado às necessidades específicas do seu negócio. Nossa equipe altamente qualificada está pronta para auxiliar na atualização para a versão 10.0.18, garantindo uma transição suave e segura.
Entre em contato conosco para agendar uma consulta inicial e descobrir como podemos otimizar a gestão de TI da sua empresa com o GLPI.
