Ce mail provient de l'extérieur, restons vigilants

=====================================================================

                            CERT-Renater

                Note d'Information No. 2025/VULN591
_____________________________________________________________________

DATE                : 08/09/2025

HARDWARE PLATFORM(S): /

OPERATING SYSTEM(S): Systems running SPIP versions prior to 4.4.5,
                                          4.3.9.

=====================================================================
https://blog.spip.net/Mise-a-jour-de-securite-sortie-de-SPIP-4-4-5-SPIP-4-3-9.html
_____________________________________________________________________

Mise à jour de sécurité : sortie de SPIP 4.4.5 & SPIP 4.3.9

lundi 8 septembre 2025, par L’équipe maintenance

Suite au signalement d’une petite faille de sécurité, nous publions
les versions SPIP 4.4.5 & SPIP 4.3.9. Un grand merci à Jobert Pasu
pour le signalement et le rapport détaillé.

Ces versions corrigent une petite faille de sécurité de type Open
Redirect sur les branches 4.4 et 4.3 de SPIP.

Encore une fois, merci à Jobert Pasu pour le signalement.

Cette faille n’est pas prise en charge par l’écran de sécurité, mais
elle ne concerne que les sites où la page de login a été surchargée
pour fonctionner en ajax.

En plus des corrections des failles de sécurité, la version 4.4.5
apporte les améliorations ou corrections de bugs suivantes.


SPIP 4.4.5

    Correction d’une faille de type Open Redirect sur formulaire
de login en ajax
    Simplification dans http_img_pack évitant un file_exists
    La fonction timestamp peut accepter une entrée null
    La fonction timestamp gère le cas d’un fichier ayant déjà un
timestamp
    Retour correct du pipeline cvtconf_formulaire_charger
    Éviter des erreurs sur la suppression des fichiers de cache
    L’optimisation du collecteur empêchait de retrouver les
balises avec une casse mixte
    Correction du collecteur sur les commentaires HTML
    Collecte spécifique des balises <code> dont le contenu est
ignoré
    Collecte des balises HTML en cas de balise fermante
surnuméraire
    utf8_noplanes n’accepte qu’une string en entrée
    Filtre |nom_jour sur les années négatives ou inférieures
à 1901
    Dépréciation de la constante _IS_CLI : utiliser PHP_SAPI === 'cli' à la place
    Dans un ensemble de choix, mettre en gras automatiquement le
choix :checked si possible
    Dans un .editer.obligatoire on veut certes que le .label
principal soit gras, mais pas les label des .choix
    Ne pas enregistrer de date de rédaction antérieure si la
date est vide
    ne pas appliquer les traitements de sécurité sur les
messages de retour du formulaire editer_logo afin de pouvoir
y injecter du Javascript
    Le bouton de réinitialisation de la couleur de login ne
doit être affiché que si la couleur est différente de la
couleur par défaut
    Ne pas ajouter de lien pour confirmer l’inscription sur
les visiteurs
    Rétablir les puces « plus » dans les sélecteurs de
rubriques/articles
    Traduction de l’aide en Portuguais
    Transmettre le nombre d’uploads en succès dans l’événement bigup.complete à la fin de l’upload
    Ne pas toucher aux chaînes de template entre backticks
dans la compression des fichiers, a minima celles sans retour
ligne.
    Ne pas appliquer un timestamp sur l’image du favicon
    Amélioration des performances des statistiques sur les
sites avec beaucoup de visites et de referers
    Prise en charge d’un cas très rare où todo ne serait pas
un tableau à la lecture des actions dans la gestion des
plugins
    Tester aussi la compatibilité des plugins avec la
version PHP disponible et les modules PHP
    La langue dans les modèles inclus via propre doit
être celle de la boucle en cours


SPIP 4.3.9

    Correction d’une faille de type Open Redirect sur
formulaire de login en ajax

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour au moyen de la dernière
version de spip_loader (version 6.1.8).

spip_loader est distribué à l’adresse suivante :
https://get.spip.net/

Le fichier spip_loader.php est un script compilé dans le
format binaire phar. Si vous avez besoin de personnaliser
l’installation en définissant des constantes, il vous faut
créer un fichier de configuration spip_loader_config.php
(cf https://www.spip.net/fr_article5705.html).


Résumé des versions de SPIP
Branche     Version  Suivi               Compatibilité PHP
SPIP 4.4    4.4.5    Maintenance active       PHP 7.4 à PHP 8.4
SPIP 4.3    4.3.9    Correctifs de sécurité   PHP 7.4 à PHP 8.4

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html
Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13

Bien sûr, les réseaux sociaux sont de la partie :

    Seenthis : https://seenthis.net/people/spip
    Facebook : https://www.facebook.com/spip.net
    Mamot : https://mamot.fr/@spip

Une question, besoin d’aide ?

En cas de problème ou de difficultés, il y aura certainement
quelqu’un pour vous aider sur IRC, n’hésitez pas à venir poser
vos questions https://irc.spip.net ou sur notre serveur Discord.

Vous pouvez aussi poster un message et échanger sur :

    La liste des utilisateurs et utilisatrices
https://discuter.spip.net/c/spip/6
    La liste du développement spip-dev
https://discuter.spip.net/c/spip-dev/5

Nous vous rappelons que pour signaler une faille, il suffit
d’envoyer un mail à securite@spip.net. 


=========================================================
+ CERT-RENATER        |    tel : 01-53-94-20-44         +
+ 23/25 Rue Daviel    |    fax : 01-53-94-20-41         +
+ 75013 Paris         |   email:cert@support.renater.fr +
=========================================================