Accueil > Release > Mise à jour de sécurité : sortie de SPIP 4.4.5 & SPIP 4.3.9

Mise à jour de sécurité : sortie de SPIP 4.4.5 & SPIP 4.3.9

lundi 8 septembre 2025, par L’équipe maintenance

Suite au signalement d’une petite faille de sécurité, nous publions les versions SPIP 4.4.5 & SPIP 4.3.9. Un grand merci à Jobert Pasu pour le signalement et le rapport détaillé.

Ces versions corrigent une petite faille de sécurité de type Open Redirect sur les branches 4.4 et 4.3 de SPIP.

Encore une fois, merci à Jobert Pasu pour le signalement.

Cette faille n’est pas prise en charge par l’écran de sécurité, mais elle ne concerne que les sites où la page de login a été surchargée pour fonctionner en ajax.

En plus des corrections des failles de sécurité, la version 4.4.5 apporte les améliorations ou corrections de bugs suivantes.

SPIP 4.4.5

  • Correction d’une faille de type Open Redirect sur formulaire de login en ajax
  • Simplification dans http_img_pack évitant un file_exists
  • La fonction timestamp peut accepter une entrée null
  • La fonction timestamp gère le cas d’un fichier ayant déjà un timestamp
  • Retour correct du pipeline cvtconf_formulaire_charger
  • Éviter des erreurs sur la suppression des fichiers de cache
  • L’optimisation du collecteur empêchait de retrouver les balises avec une casse mixte
  • Correction du collecteur sur les commentaires HTML
  • Collecte spécifique des balises <code> dont le contenu est ignoré
  • Collecte des balises HTML en cas de balise fermante surnuméraire
  • utf8_noplanes n’accepte qu’une string en entrée
  • Filtre |nom_jour sur les années négatives ou inférieures à 1901
  • Dépréciation de la constante _IS_CLI : utiliser PHP_SAPI === 'cli' à la place
  • Dans un ensemble de choix, mettre en gras automatiquement le choix :checked si possible
  • Dans un .editer.obligatoire on veut certes que le .label principal soit gras, mais pas les label des .choix
  • Ne pas enregistrer de date de rédaction antérieure si la date est vide
  • ne pas appliquer les traitements de sécurité sur les messages de retour du formulaire editer_logo afin de pouvoir y injecter du Javascript
  • Le bouton de réinitialisation de la couleur de login ne doit être affiché que si la couleur est différente de la couleur par défaut
  • Ne pas ajouter de lien pour confirmer l’inscription sur les visiteurs
  • Rétablir les puces « plus » dans les sélecteurs de rubriques/articles
  • Traduction de l’aide en Portuguais
  • Transmettre le nombre d’uploads en succès dans l’événement bigup.complete à la fin de l’upload
  • Ne pas toucher aux chaînes de template entre backticks dans la compression des fichiers, a minima celles sans retour ligne.
  • Ne pas appliquer un timestamp sur l’image du favicon
  • Amélioration des performances des statistiques sur les sites avec beaucoup de visites et de referers
  • Prise en charge d’un cas très rare où todo ne serait pas un tableau à la lecture des actions dans la gestion des plugins
  • Tester aussi la compatibilité des plugins avec la version PHP disponible et les modules PHP
  • La langue dans les modèles inclus via propre doit être celle de la boucle en cours

SPIP 4.3.9

  • Correction d’une faille de type Open Redirect sur formulaire de login en ajax

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour au moyen de la dernière version de spip_loader (version 6.2.1).

spip_loader est distribué à l’adresse suivante : https://get.spip.net/

Le fichier spip_loader.php est un script compilé dans le format binaire phar. Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html).

Résumé des versions de SPIP

Branche Version Suivi Compatibilité PHP
SPIP 4.4 4.4.5 Maintenance active PHP 7.4 à PHP 8.5
SPIP 4.3 4.3.9 Correctifs de sécurité PHP 7.4 à PHP 8.4

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13

Bien sûr, les réseaux sociaux sont de la partie :

Une question, besoin d’aide ?

En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, n’hésitez pas à venir poser vos questions https://irc.spip.net ou sur notre serveur Discord.

Vous pouvez aussi poster un message et échanger sur :

Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à securite@spip.net.

Messages

  • Merci la team Spip pour le travail que vous faites

  • Bonjour

    Merci pour votre vigilence et votre travail !

    Belle journée

  • Merci à vous !

  • Je joins mes remerciements : c’est un plaisir de travailler avec un outil tel que Spip. Interface simple et facile à prendre en main.

    Ce matin, en randonnant autour de chez moi, on a rencontré une doctorante dont la thèse est la modélisation de l’évolution des forêts. Elle utilise du Fortran et comme je ne savais pas que c’est encore utilisé (il y a 40 ans, j’avais utilisé le Fortran 77 puis le Fortran 90 pour modéliser des cartes de télécommunication), elle m’a dit que c’était simple et robuste sans fioriture et bien adapté à de la modélisation. Pour gérer des cartes et images, elle complète Fortran par Python.

    J’ai fait le rapprochement avec Spip : simple, robuste et sans fioriture.

    NB : la mise à jour de 4.4.4 à 4.4.5 s’est faite sans aucun problème sur les 7 sites dont je suis le webmestre.

Dans la même rubrique

2005 - 2026 SPIP Blog
Plan du site | | Contact | RSS 2.0

SPIP