Skip to content

NexTool 5.2.4 [GLPI 11]

Choose a tag to compare

@RPGMais RPGMais released this 03 Jul 03:42

[5.2.4] - 2026-07-03

Corrigido

  • Segurança: os roteadores de módulo passam a recusar arquivos .inc.php. Os parciais de include dos módulos (front/*.inc.php, ajax/*.inc.php) eram servíveis diretamente pelos roteadores (modules.php e module_ajax.php) após apenas Session::checkLoginUser(), contornando o controle de permissão de cada módulo — qualquer usuário autenticado podia incluir um parcial de configuração e ler credenciais renderizadas no HTML (token de API, segredo de webhook). Ambos os roteadores agora devolvem 404 para *.inc.php antes de qualquer include. Correção sistêmica: protege os parciais de todos os módulos de uma vez.

Etiqueta: nextool[GLPI_11]