NexTool 5.2.4 [GLPI 11]
[5.2.4] - 2026-07-03
Corrigido
- Segurança: os roteadores de módulo passam a recusar arquivos
.inc.php. Os parciais de include dos módulos (front/*.inc.php,ajax/*.inc.php) eram servíveis diretamente pelos roteadores (modules.phpemodule_ajax.php) após apenasSession::checkLoginUser(), contornando o controle de permissão de cada módulo — qualquer usuário autenticado podia incluir um parcial de configuração e ler credenciais renderizadas no HTML (token de API, segredo de webhook). Ambos os roteadores agora devolvem 404 para*.inc.phpantes de qualquer include. Correção sistêmica: protege os parciais de todos os módulos de uma vez.
Etiqueta: nextool[GLPI_11]