Mise à jour de sécurité : sortie de SPIP 4.4.10

Cette version corrige trois failles de sécurité :

• une faille de type Authentication Bypass pour l’authentification légère
• une faille de type Injection SQLI dans l’espace privé
• une faille de type RCE dans l’espace privé

Merci encore à Arthur Deloffre (Vozec), Louka Jacques-Chevallier (Laluka) et Oreo pour les signalements.

Ces failles ne sont pas prises en charge par l’écran de sécurité.

La version 4.4.10 apporte les améliorations ou corrections de bugs suivantes :

• Bug d’autorisation au chargement du formulaire d’institution générique pour les objets sans parents et les personnes non webmestre
• Éviter une boucle infinie en respectant l’option ignore_echappe_js lors du second appel de interdire_scripts()
• Mieux sanitizer les valeurs d’environnement tabulaires provenant du GET ou POST
• Sécuriser le fallback de #TOTO vers #ENV{toto} (en dehors de l’écran de sécurité aussi)
• Utiliser hash_equals dans verifier_low_sec()
• Brider unserialize() dans l’édition d’un logo
• Correction de deprecated avec PHP 8.5 dans l’archiviste

Par ailleurs :

• spip_sanitize_env_from_request() remplaçe spip_sanitize_from_request([...], '*') ou spip_sanitize_from_request([...], [...])
• Ce qui entraîne les dépréciations suivantes :
  • Second argument * dans spip_sanitize_from_request($env, '*') : Utiliser spip_sanitize_env_from_request($env)
  • Second argument array dans spip_sanitize_from_request($env, ['nom']) : Utiliser spip_sanitize_env_from_request($env, ['nom'])

Correction des failles de sécurité dans 4 plugins

Chocapikk nous a signalé des failles de sécurité dans 4 plugins. L’équipe de sécurité s’est chargée de les corriger rapidement. Il est impératif de mettre à jour les plugins suivants en vous rendant dans l’espace d’administration.

Nom du plugin	Version minimale à utiliser	Nature de la faille
Referer spam	1.3.0	Unauthenticated SQL Injection
Tickets	4.3.3	Unauthenticated RCE
Interface de traduction pour objets	2.2.2	Authenticated RCE
Des jeux dans vos articles (« Jeux »)	4.1.1	Reflected XSS

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour au moyen de la dernière version de spip_loader (version 6.2.1).

spip_loader est distribué à l’adresse suivante : https://get.spip.net/

Le fichier spip_loader.php est un script compilé dans le format binaire phar. Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html).

Résumé des versions de SPIP

Branche	Version	Suivi	Compatibilité PHP
SPIP 4.4	4.4.10	Maintenance active	PHP 7.4 à PHP 8.5

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html

Pour rappel, le support de la branche 4.3 s’est terminé fin décembre 2025, pensez à mettre à jour vos sites vers la branche 4.4.

Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13

Bien sûr, les réseaux sociaux sont de la partie :

• Seenthis : https://seenthis.net/people/spip
• Facebook : https://www.facebook.com/spip.net
• Mamot : https://mamot.fr/@spip

Une question, besoin d’aide ?

En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, n’hésitez pas à venir poser vos questions https://irc.spip.net ou sur notre serveur Discord.

Vous pouvez aussi poster un message et échanger sur :

• La liste des utilisateurs et utilisatrices https://discuter.spip.net/c/spip/6
• La liste du développement spip-dev https://discuter.spip.net/c/spip-dev/5

Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à securite@spip.net.