Dňa 29. apríla 2026 vydal tím GLPI verzie 11.0.7 a 10.0.25. Obe opravujú spolu 13 bezpečnostných zraniteľností — štyri s vysokou závažnosťou, dve stredné a sedem nízko závažných. Ak prevádzkujete GLPI v produkcii, aktualizácia by mala byť okamžitou prioritou.
Štyri zraniteľnosti s vysokou závažnosťou
Najzávažnejšie opravy sa týkajú XSS útokov a neoprávneného mazania dát:
- CVE-2026-5385 — Stored XSS v znalostnej báze (knowledge base). Útočník môže vložiť škodlivý skript do článku znalostnej bázy, ktorý sa spustí pri zobrazení ostatnými používateľmi. Týka sa vetvy 11.0.
- CVE-2026-40108 — Stored XSS v ITIL nákladoch (ITIL Costs). Podobný vektor útoku cez pole nákladov v tiketoch a zmenách. Týka sa vetvy 11.0.
- CVE-2026-42318 — Neoprávnené mazanie položiek cez plánovanie (planning). Autentifikovaný používateľ môže odstrániť ľubovoľné objekty prostredníctvom plánovacieho modulu. Týka sa vetiev 10.0 aj 11.0.
- CVE-2026-42317 — Neoprávnené mazanie súborov technikmi. Technik môže zmazať súbory, ku ktorým by nemal mať prístup. Týka sa vetiev 10.0 aj 11.0.
Kombinácia Stored XSS a mazania dát je nebezpečná: útočník najprv získa session cookie administrátora cez XSS a následne zneužije zvýšené oprávnenia na mazanie kritických súborov alebo položiek.
Stredná a nízka závažnosť
Dve stredne závažné zraniteľnosti:
- CVE-2026-32312 — neoprávnený export štruktúry formulárov (len vetva 11.0).
- CVE-2026-42320 — neoprávnený prístup k ľubovoľným súborom (vetvy 10.0 aj 11.0).
Sedem nízko závažných opráv sa sústreďuje predovšetkým na webhooky a konfiguráciu: neoprávnená zmena konfigurácie, IMAP connection probing, neoprávnené čítanie špecifických asset objektov, manipulácia s webhook payload šablónami, SSRF cez webhook CRA validáciu, obídenie CRA podpisu webhookov a neoprávnené opätovné odoslanie zaradených webhookov.
Kto je dotknutý
Ak používate GLPI 11.0.0 až 11.0.6, ste zraniteľní voči všetkým 13 problémom. Používatelia vetvy 10.0 (pred 10.0.25) sú dotknutí zraniteľnosťami CVE-2026-42318, CVE-2026-42317, CVE-2026-42320 a XSS v asset locks (CVE-2026-42321). Webhookové zraniteľnosti sa týkajú len vetvy 11.0, keďže webhooky boli zavedené až v GLPI 11.
Ako aktualizovať
Postup je rovnaký ako pri predchádzajúcej aktualizácii na 11.0.6: záloha databázy aj súborov, overenie kompatibility pluginov, údržbový režim, nahradenie súborov a spustenie php bin/console db:update. Ak aktualizujete z 11.0.6, migrácia je rýchla — zmeny schémy sú minimálne.
Archívy na stiahnutie:
- GLPI 11.0.7 — GitHub release
glpi-project/glpi, tag11.0.7 - GLPI 10.0.25 — GitHub release
glpi-project/glpi, tag10.0.25
Prečo neodkladať
Za posledné tri mesiace vyšli tri bezpečnostné aktualizácie GLPI (11.0.5, 11.0.6, 11.0.7). Kadencia naznačuje aktívny bezpečnostný výskum zameraný na GLPI — zverejnené CVE znižujú bariéru pre potenciálnych útočníkov. Každý deň bez aktualizácie je deň, kedy je vaša inštancia vystavená známym a zdokumentovaným zraniteľnostiam.
Ak ešte používate vetvu 10.0, aktualizujte minimálne na 10.0.25. Podpora vetvy 10.0 sa blíži ku koncu a budúce opravy budú dostupné výhradne pre 11.0.