Ce mardi 3 mars 2026, de nouvelles mises à jour de sécurité de GLPI ont été mises en ligne : GLPI 11.0.6 et GLPI 10.0.24. Quelles sont les vulnérabilités patchées par ces nouvelles versions ? Voici ce que l’on sait.
GLPI 11.0.6 : six vulnérabilités corrigées
Si vous avez déjà migré votre instance sur la branche 11.x de GLPI, vous devez mettre à jour votre instance vers la version 11.0.6. En effet, cette version corrige au total 6 failles de sécurité, dont une vulnérabilité considérée comme critique. Au-delà de celle-ci, on note la présence d’une injection SQL exploitable sans authentification via le moteur de recherche.
Voici le détail des vulnérabilités corrigées dans GLPI 11.0.6 :
CVE-2026-26026 : une faille de sécurité critique décrite comme Server-side template injection. Dans le pire des cas, ce type de vulnérabilité peut permettre une exécution de code à distance (RCE).
CVE-2026-26263 : une faille de sécurité de type injection SQL qui ne nécessite pas d’être authentifié pour être exploitée. Elle serait située dans le moteur de recherche de GLPI.
CVE-2026-26027 : une faille Stored XSS (Cross-Site Scripting) via l’inventaire.
CVE-2026-25937 : contournement de l’authentification multifacteur.
CVE-2026-25936 : une faille de type injection SQL exploitable par un utilisateur authentifié.
Référence CVE en cours d’attribution : une injection SQL nécessitant une authentification.
GLPI 10.0.24 : deux vulnérabilités corrigées
Pour les organisations qui utilisent encore la branche 10.x de GLPI, Teclib’ continue d’assurer le support. La preuve en est avec cette version 10.0.24 qui corrige deux failles de sécurité.
Les vulnérabilités corrigées par la version 10.0.24 sont les suivantes :
CVE-2026-25932 : une faille XSS stockée située au niveau de la gestion des fournisseurs.
Référence CVE en cours d’attribution : tout comme sur la branche 11, une injection SQL authentifiée est corrigée ici.
Comme le précise l’éditeur : “Ceci est une version de sécurité, la mise à niveau est recommandée.”
Ces nouvelles versions sont dès à présent disponibles sur le GitHub de GLPI.
Pour rappel, le 28 janvier 2026, des mises à jour de sécurité avaient été publiées par Teclib’ dans le but de corriger plusieurs vulnérabilités : GLPI 11.0.5 et GLPI 10.0.23. Si vous avez besoin d’aide pour mettre à jour GLPI, suivez ce tutoriel :
Si vous ne souhaitez plus assurer la maintenance de votre instance GLPI, sachez qu’il existe des solutions via le programme GLPI Network Cloud proposé par l’éditeur Teclib’.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.