L’éditeur Teclib’ a publié ce 29 juin 2026 un avis de sécurité concernant plusieurs de ses plugins communautaires à destination de GLPI. Au sommet de la pile de vulnérabilités, une faille d’exécution de code à distance (RCE) jugée critique dans le plugin GenericObject. Voici l’essentiel à savoir sur ces patchs de sécurité.
Une RCE critique dans GenericObject
C’est la vulnérabilité à traiter en priorité. Selon l’avis publié par GLPI, le plugin GenericObject, utilisé pour créer des types d’objets et d’actifs personnalisés dans GLPI, est exposé à une faille permettant une exécution de code à distance. Considérée comme critique, elle hérite d’un score CVSS de 8,9 sur 10.
Une faille de sécurité comme celle-ci peut permettre à un attaquant d’exécuter du code arbitraire sur l’instance GLPI vulnérable. Ceci peut avoir de vraies conséquences sur le serveur, puisque ce dernier héberge un outil qui centralise l’inventaire et la gestion du parc informatique.
C’est réellement la mise à jour à traiter en priorité.
Les autres vulnérabilités
GenericObject n’est pas le seul plugin concerné. Le bulletin de sécurité référence un ensemble de 15 vulnérabilités réparties dans plusieurs plugins communautaires. Cela va de failles de type injections SQL à des failles de type XSS (Cross-Site Scripting).
Ci-dessous, le tableau récapitulatif issu du bulletin de sécurité de GLPI :
PluginType de vulnérabilitéCVSSGravitéGLPI 10GLPI 11GenericObjectExécution de code à distance (RCE)8,9🔴 Critique✅❌PDFInjection SQL (SQLi)6,1🟡 Moyenne❌✅DatainjectionInjection SQL (SQLi)7,1🟠 Élevée❌✅FormcreatorCross-Site Scripting (XSS)6,7🟡 Moyenne✅❌EscaladeDéfaut de contrôle d’accès7,7🟠 Élevée✅✅CreditDéfaut de contrôle d’accès7,7🟠 Élevée✅✅FieldsCross-Site Scripting (XSS)7,3🟠 Élevée❌✅OrderCross-Site Scripting (XSS) – 3 failles7,3🟠 Élevée❌✅TreeviewCross-Site Scripting (XSS)7,3🟠 Élevée❌✅TagCross-Site Scripting (XSS)7,3🟠 Élevée❌✅OauthimapCross-Site Scripting (XSS)7,3🟠 Élevée❌✅GlpinventoryDéfaut de contrôle d’accès6,3🟡 Moyenne❌✅GlpinventoryCross-Site Scripting (XSS)7,3🟠 Élevée✅✅
Pour rappel, il y a quelques jours, Teclib’ corrigeait déjà seize failles dans GLPI 11.0.8 et 10.0.26, dont deux critiques. Désormais, c’est au tour des plugins d’avoir le droit à un renforcement de leur code.
GLPI Network Cloud déjà patché
Bonne nouvelle pour les organisations qui ne gèrent pas elles-mêmes leur instance GLPI : l’ensemble des correctifs relatifs à ces plugins a déjà été déployé sur les plateformes GLPI Network Cloud Public et Private. Aucune action n’est requise pour les instances hébergées dans ces environnements managés.
La charge repose donc essentiellement sur les administrateurs d’instances auto-hébergées. Si vous gérez votre propre serveur (par exemple après avoir suivi notre tutoriel d’installation pas-à-pas de GLPI sur Debian), c’est à vous d’appliquer les mises à jour.
Cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Mon obsession depuis près de 15 ans ? Rendre l’administration système et la cybersécurité accessibles, que vous soyez junior ou confirmé. Plus qu’un métier, l’IT est pour moi une véritable passion. J’accompagne au quotidien les sysadmins et les professionnels de l’IT dans leur montée en compétences et leur veille technique.