GLPI 11.0.7 & 10.0.25 : 13 vulnérabilités corrigées dont 4 critiques (XSS, suppression arbitraire)

📅 Source : IT-Connect, publié le 30 avril 2026 par Florian Burnel.

Contexte

L’équipe de GLPI a publié le 29 avril 2026 deux mises à jour de sécurité simultanées : GLPI 11.0.7 (7ème mise à jour mineure de la branche 11) et GLPI 10.0.25 (branche legacy toujours maintenue). Ces versions corrigent un ensemble de vulnérabilités affectant les deux branches du logiciel de gestion de parc informatique.

Vulnérabilités corrigées dans GLPI 11.0.7

13 vulnérabilités ont été patchées, dont 4 considérées comme importantes :

• 🔴 CVE-2026-40108 : Stored XSS dans le module de gestion des coûts ITIL
• 🔴 CVE-2026-5385 : Stored XSS dans le module de base de connaissances
• 🔴 CVE-2026-42318 : Suppression arbitraire d’éléments via la fonctionnalité de planification
• 🔴 CVE-2026-42317 : Suppression arbitraire de fichiers par un utilisateur avec profil technicien

Par ailleurs, 4 vulnérabilités supplémentaires ont été corrigées dans la fonctionnalité Webhooks de GLPI 11.

Vulnérabilités corrigées dans GLPI 10.0.25

7 vulnérabilités ont été patchées. Les 4 vulnérabilités importantes listées ci-dessus sont également présentes et corrigées dans cette branche. Les correctifs liés aux Webhooks sont absents car cette fonctionnalité est exclusive à GLPI 11.

Type d’article

Article de type patch de sécurité, dont le but principal est d’informer les administrateurs GLPI de la disponibilité de mises à jour corrigeant des vulnérabilités importantes sur les deux branches maintenues du produit.

🧠 TTPs et IOCs détectés

TTP

• T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
• T1485 — Data Destruction (Impact)

IOC

• CVEs : CVE-2026-40108 — NVD · CIRCL
• CVEs : CVE-2026-5385 — NVD · CIRCL
• CVEs : CVE-2026-42318 — NVD · CIRCL
• CVEs : CVE-2026-42317 — NVD · CIRCL

🟡 Indice de vérification factuelle : 41/100 (moyenne)

• ⬜ it-connect.fr — source non référencée (0pts)
• ✅ 2927 chars — texte partiel (fulltext extrait) (13pts)
• ✅ 4 IOCs (IPs/domaines/CVEs) (10pts)
• ⬜ pas d’IOC vérifié (0pts)
• ✅ 2 TTP(s) MITRE (8pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ 0/4 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.it-connect.fr/glpi-11-0-7-glpi-10-0-25-une-dizaine-de-vulnerabilites-patchees/