Foi descoberto que o GLPI não valida o nome da imagem do perfil que pode ser usado para injetar código HTML e JavaScript malicioso dentro da página. Se um administrador acessar o perfil, ele poderá ser usado para interagir com a instância do GLPI com o perfil do administrador e executar ações sensíveis, como adicionar a conta com poucos privilégios ao grupo de Super-administradores.