Ce mardi 3 mars 2026, de nouvelles mises à jour de sécurité de GLPI ont été mises en ligne : GLPI 11.0.6 et GLPI 10.0.24. Quelles sont les vulnérabilités patchées par ces nouvelles versions ? Voici ce que l’on sait.

GLPI 11.0.6 : six vulnérabilités corrigées

Si vous avez déjà migré votre instance sur la branche 11.x de GLPI, vous devez mettre à jour votre instance vers la version 11.0.6. En effet, cette version corrige au total 6 failles de sécurité, dont une vulnérabilité considérée comme critique. Au-delà de celle-ci, on note la présence d’une injection SQL exploitable sans authentification via le moteur de recherche.

Voici le détail des vulnérabilités corrigées dans GLPI 11.0.6 :

CVE-2026-26026 : une faille de sécurité critique décrite comme Server-side template injection. Dans le pire des cas, ce type de vulnérabilité peut permettre une exécution de code à distance (RCE).

CVE-2026-26263 : une faille de sécurité de type injection SQL qui ne nécessite pas d’être authentifié pour être exploitée. Elle serait située dans le moteur de recherche de GLPI.

CVE-2026-26027 : une faille Stored XSS (Cross-Site Scripting) via l’inventaire.

CVE-2026-25937 : contournement de l’authentification multifacteur.

CVE-2026-25936 : une faille de type injection SQL exploitable par un utilisateur authentifié. Référence CVE en cours d’attribution : une injection SQL nécessitant une authentification.