Accueil > Release > Mise à jour de sécurité : sortie de SPIP 4.4.13

Mise à jour de sécurité : sortie de SPIP 4.4.13

vendredi 6 mars 2026, par L’équipe maintenance

La version 4.4.13 apporte des corrections de bugs et corrige une petite faille de sécurité introduite en 4.4.10. Un grand merci à Jul Blobul pour le signalement. La version 4.4.12 a eu une vie hyperéphémère (bug avec PHP 7.4).

Cette version corrige une faille de sécurité pouvant conduire à la promotion involontaire de comptes en admin.

Merci encore à Jul Blobul pour le signalement.

Cette faille n’est pas prise en charge par l’écran de sécurité.

Cette version corrige également des échappements involontaires sur le contenu renvoyé par des filtres appliqués sur #BALISE lorsque la valeur de #BALISE est récupérée dans l’environnement.

La version 4.4.13 apporte les améliorations ou corrections de bugs suivantes :

  • Éviter la promotion d’un compte en admin lorsqu’on édite un auteur
  • Limiter les changements sur les balises avec traitements provenant de l’env (tel que #TEXTE)
  • Émettre un log sur compacte() qui est déprécié depuis longtemps. Préférez minifier()
  • Dans une boucle DATA, #BALISE ne correspondant à aucun champ doit récupérer #ENV{balise}
  • Correction de différentes dépréciations

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour au moyen de la dernière version de spip_loader (version 6.2.1).

spip_loader est distribué à l’adresse suivante : https://get.spip.net/

Le fichier spip_loader.php est un script compilé dans le format binaire phar. Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html).

Résumé des versions de SPIP

Branche Version Suivi Compatibilité PHP
SPIP 4.4 4.4.13 Maintenance active PHP 7.4 à PHP 8.5

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html

Pour rappel, le support de la branche 4.3 s’est terminé fin décembre 2025, pensez à mettre à jour vos sites vers la branche 4.4.

Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13

Bien sûr, les réseaux sociaux sont de la partie :

Une question, besoin d’aide ?

En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, n’hésitez pas à venir poser vos questions https://irc.spip.net ou sur notre serveur Discord.

Vous pouvez aussi poster un message et échanger sur :

Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à securite@spip.net.

Messages

  • Hello,

    Suite à mise à du jour sortie de SPIP 4.4.12 : erreur 500

    Erreur references.php on line 132 : virgule en trop.

  • @gil : la 4.4.13 sortie juste après corrige cela.

  • Il ne suffit pas d’installer la mise à jour  : il est indispensable de vérifier dans le backend la liste des administrateurs.
    En raison de ce bug, certains comptes «  rédacteurs  » ou même «  visiteurs  » ont pu être promus par erreur au rôle d’administrateur.

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Dans la même rubrique

2005 - 2026 SPIP Blog
Plan du site | | Contact | RSS 2.0

SPIP