Vulnérabilité dans SPIP

SPIP est un système de publication pour l’Internet qui s’attache particulièrement au fonctionnement collectif, au multilinguisme et à la facilité d’emploi. C’est un logiciel libre, distribué sous la licence GNU/GPL. Il peut ainsi être utilisé pour tout site Internet, qu’il soit associatif ou institutionnel, personnel ou marchand. SPIP est développé (programmé, documenté, traduit, etc.) en PHP et utilisé par une communauté de personnes que chacun·e est invité·e à rejoindre (ou simplement à contacter) sur différents sites Web, listes de discussion par email et rencontres.

Une vulnérabilité a été découverte dans SPIP. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

SYSTÈMES AFFECTÉS

  • SPIP versions 4.2.x antérieures à 4.2.1
  • SPIP versions 4.1.x antérieures à 4.1.8
  • SPIP versions 4.0.x antérieures à 4.0.10
  • SPIP versions 3.2.x antérieures à 3.2.18

Seules les branches 4.2.x et 4.1.x sont encore maintenues. Les branches 4.0.x et 3.2.x ont reçu un correctif de sécurité à titre exceptionnel car elles sont en fin de vie depuis le 23 février 2023.

Les versions 4.2.2, 4.1.9, 4.0.11 et 3.2.19 ont été publiées le 28 févier 2023 pour corriger un problème induit par la mise à jour de sécurité

RECOMMANDATIONS


Source : CERT FR