Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en GLPI

Fecha de publicación 08/04/2026
Identificador
INCIBE-2026-267
Importancia
5 - Crítica
Recursos Afectados
  • Versión 11.0.0 y posteriores (CVE-2026-26026, CVE-2026-26263 y CVE-2026-26027).
  • Versión 10.0.0 y posteriores (CVE-2026-29047).
  • Versión 0.60 y posteriores y versiones anteriores a la 10.0.24 (CVE-2026-25932).
Descripción

BZHunt, aarjubh, UncleJ4ck, Shakun8 y varandaa han reportado 5 vulnerabilidades: 1 de severidad crítica y 4 de severidad alta que, en caso de ser explotadas, podrían permitir la ejecución remota de código.

Solución

Actualizar a las versiones, respectivamente:

  • 11.0.6
  • 10.0.24
Detalle

CVE-2026-26026: vulnerabilidad de severidad crítica de tipo inyección de plantillas por parte del administrador que podría permitir una ejecución remota de código.

Para las vulnerabilidades de severidad alta se han asignado los siguientes identificadores CVE-2026-26263, CVE-2026-29047, CVE-2026-26027 y CVE-2026-25932.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-26026 Crítica No glpi
CVE-2026-26263 Alta No glpi
CVE-2026-29047 Alta No glpi
CVE-2026-26027 Alta No glpi
CVE-2026-25932 Alta No glpi
Listado de referencias
Server-Side Template Injection
Unauthenticated SQL Injection via Search engine
Authenticated SQL Injection via log exports
Unauthenticated Stored XSS via inventory
Stored XSS in Supplier
Etiquetas