Dňa 24. júna 2026 vydal tím GLPI verzie 11.0.8 a 10.0.26. Tentokrát ide o najzávažnejšiu bezpečnostnú aktualizáciu od vydania GLPI 11 — opravuje celkovo 16 zraniteľností, z toho dve kritické: vzdialené spustenie kódu (RCE) cez import formulárov a obídenie viacfaktorovej autentifikácie (MFA).
Dve kritické zraniteľnosti
Obe kritické zraniteľnosti sa týkajú výhradne vetvy 11.0:
- CVE-2026-48482 — vzdialené spustenie kódu (RCE) cez import natívnych formulárov. Formuláre sú novou funkciou v GLPI 11, ktorá nahradila plugin FormCreator. Útočník s prístupom k importu formulárov môže prostredníctvom špeciálne upraveného súboru spustiť ľubovoľný kód na serveri.
- CVE-2026-52848 — obídenie viacfaktorovej autentifikácie. MFA patrila medzi hlavné bezpečnostné vylepšenia GLPI 11, no táto zraniteľnosť umožňuje útočníkovi kompletne obísť druhý faktor pri prihlásení.
Kombinácia týchto dvoch zraniteľností je mimoriadne nebezpečná — útočník, ktorý obíde MFA, môže následne cez import formulárov prevziať kontrolu nad celým serverom.
Osem zraniteľností s vysokou závažnosťou
Okrem kritických opráv aktualizácia rieši osem ďalších závažných problémov:
- CVE-2026-49470 — prevzatie účtu hrubou silou proti 2FA kódom (len 11.0)
- CVE-2026-47678 — SQL injection v rozbaľovacích zoznamoch (10.0 aj 11.0)
- CVE-2026-47679 — mazanie ľubovoľných súborov na serveri (10.0 aj 11.0)
- CVE-2026-53625 — eskalácia oprávnení cez API manipuláciu authtype (10.0 aj 11.0)
- CVE-2026-53610 — reflected XSS v dashboardoch (len 11.0)
- CVE-2026-53626 — čítanie ľubovoľných dokumentov (len 11.0)
- CVE-2026-53629 — SQL injection v záložke história (10.0 aj 11.0)
- CVE-2026-55214 — stored XSS v údajoch dodávateľov (len 11.0)
Šesť stredne závažných opráv
Zvyšných šesť zraniteľností so strednou závažnosťou zahŕňa neoprávnenú aktiváciu debug režimu (CVE-2026-45801), LDAP filter injection pri importe používateľov (CVE-2026-49469), neautorizovaný prístup k API operáciám (CVE-2026-53627, CVE-2026-53628), neoprávnenú úpravu článkov znalostnej bázy (CVE-2026-55217) a neoprávnené odosielanie notifikácií (CVE-2026-57152).
Kto je dotknutý
Používatelia GLPI 11.0.0 až 11.0.7 sú zraniteľní voči všetkým 16 problémom vrátane oboch kritických. Používatelia vetvy 10.0 (pred 10.0.26) sú dotknutí deviatimi zdieľanými zraniteľnosťami — kritické RCE a MFA bypass sa ich netýkajú, pretože natívne formuláre aj MFA sú výhradne funkciou verzie 11.
Ako aktualizovať
Postup je rovnaký ako pri predchádzajúcej aktualizácii na 11.0.7: záloha databázy aj súborov, overenie kompatibility pluginov, údržbový režim, nahradenie súborov a spustenie php bin/console db:update. Ak prichádzate z verzie 11.0.7, migrácia je rýchla.
Archívy na stiahnutie sú dostupné na GitHube v repozitári glpi-project/glpi pod tagmi 11.0.8 a 10.0.26. Pre GLPI 11 je k dispozícii aj oficiálny Docker obraz.
Prečo tentokrát naozaj neodkladať
Za posledné štyri mesiace sú to štyri bezpečnostné aktualizácie GLPI (11.0.5 až 11.0.8). Verzia 11.0.8 je však iná — po prvýkrát obsahuje kritické RCE. Vzdialené spustenie kódu je najvyšší stupeň rizika a zverejnené CVE detaily znižujú bariéru pre potenciálnych útočníkov. Každá hodina bez aktualizácie je hodina, kedy je váš server vystavený kompromitácii.