这些修复了两个严重的安全漏洞：SQL 注入 (CVE-2022-35947) 和远程代码执行 (CVE-2022-35914，第三方库中的漏洞，htmlawed)，后者自 10 月 3 日以来已被大规模利用, 2022 在不安全的服务器上执行代码，在互联网上可用，托管 GLPI（GLPI 网络云实例不受影响）。

如果您不是最新版本 9.5.9 或 10.0.3，则必须  根据 推荐的方法更新您的实例 （从一个空文件夹，不覆盖现有的 GLPI 文件）。

我们注意到存在修正版本也可能受到影响的情况：当执行 GLPI 更新时，通过 在现有文件夹和文件上解压缩存档。我们坚持认为这种更新 GLPI 的方式是一种不好的做法，尽管存在当前的安全问题，但仍会使您面临错误。

CVE-2022-35914 GLPI <10.0.2 - PHP 代码注入 

FOFA 语法：app="TECLIB-GLPI"

POC：https://github.com/cosad3s/CVE-2022-35914-poc

参考：GLPI htmlawed Rce(CVE-2022-35914)