Accueil > Release > Mise à jour de sécurité : sortie de SPIP 4.4.9

Mise à jour de sécurité : sortie de SPIP 4.4.9

mercredi 18 février 2026, par L’équipe maintenance

La version 4.4.9 apporte des correctifs à des bugs introduits dans la 4.4.8. Elle corrige également quatre failles de sécurité. Un grand merci à Dorian Piette (Trachinus) pour les signalements.

Cette version corrige quatre petites failles de sécurité :

  • deux dans l’espace privé avec les sites syndiqués (blind SSRF et stored XSS) lors de l’utilisation d’URL malicieuses
  • une autre XSS dans l’espace privé (en complément de la correction précédente dans SPIP  4.4.8)
  • la quatrième dans l’espace public pour un cas d’usage improbable (Insecure Deserialization) nécessitant un code malveillant présent préalablement à l’attaque.

Encore une fois, merci à Dorian Piette (Trachinus) pour les signalements.

Ces failles ne sont pas prises en charge par l’écran de sécurité.

Nous en profitons pour souhaiter la bienvenue à Arthur Deloffre (Vozec) qui a rejoint l’équipe de sécurité :)

La version 4.4.9 apporte les améliorations ou corrections de bugs suivantes :

  • Éviter une réentrance / plantage du serveur côté privé sur les articles contenant du code JS à échapper (bug introduit en 4.4.8)
  • Erreurs sur la page visiteurs de l’espace privé (?exec=visiteurs, bug introduit en 4.4.8)
  • Appliquer systématiquement echappe_anti_xss() pour les balises input,form,button,a
  • Limiter l’usage de données sérialisées dans le filtre table_valeur et l’itérateur DATA, et déprécier cet usage qui sera supprimé en SPIP 5
  • Sécuriser l’affichage de #URL_SYNDIC sur la page privé d’un site
  • Lors de l’édition d’un site, vérifier que l’URL de syndication est bien une URL distante
  • Mise à jour de la librairie svg-sanitizer en 0.22.0
  • S’assurer que la constante IMAGETYPE_SVG est bien définie
  • Notices PHP diverses

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour au moyen de la dernière version de spip_loader (version 6.2.1).

spip_loader est distribué à l’adresse suivante : https://get.spip.net/

Le fichier spip_loader.php est un script compilé dans le format binaire phar. Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html).

Résumé des versions de SPIP

Branche Version Suivi Compatibilité PHP
SPIP 4.4 4.4.9 Maintenance active PHP 7.4 à PHP 8.5

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html

Pour rappel, le support de la branche 4.3 s’est terminé fin décembre 2025, pensez à mettre à jour vos sites vers la branche 4.4.

Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13

Bien sûr, les réseaux sociaux sont de la partie :

Une question, besoin d’aide ?

En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, n’hésitez pas à venir poser vos questions https://irc.spip.net ou sur notre serveur Discord.

Vous pouvez aussi poster un message et échanger sur :

Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à securite@spip.net.

Un message, un commentaire ?

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Dans la même rubrique

2005 - 2026 SPIP Blog
Plan du site | | Contact | RSS 2.0

SPIP