Ce mail provient de l'extérieur, restons vigilants

=====================================================================

                            CERT-Renater

                Note d'Information No. 2026/VULN166
_____________________________________________________________________

DATE                : 13/02/2026

HARDWARE PLATFORM(S): /

OPERATING SYSTEM(S): Systems running SPIP versions prior to 4.4.8.

=====================================================================
https://blog.spip.net/Mise-a-jour-de-securite-sortie-de-SPIP-4-4-8.html
_____________________________________________________________________

Mise à jour de sécurité : sortie de SPIP 4.4.8

jeudi 12 février 2026, par L’équipe maintenance

Suite au signalement de deux petites failles de sécurité, nous 
publions la version 4.4.8 de SPIP. Un grand merci à Arthur Deloffre 
(Vozec), Louka Jacques-Chevallier (Laluka) et Philippe Boussin pour 
les signalements.

Cette version apporte aussi des améliorations notables des 
performances de SVP, l’outil d’installation des plugins, plus de 
détail sur le fil de discussion.

Cette version corrige deux petites failles de type XSS : une dans 
l’espace privé lors de l’utilisation de balises <iframe> malicieuses 
et l’autre dans l’espace public pour certains cas d’usage à la marge.

Encore une fois, merci à Arthur Deloffre (Vozec), Louka 
Jacques-Chevallier (Laluka) et Philippe Boussin pour les signalements.

Ces failles ne sont pas prises en charge par l’écran de sécurité.

Remarque importante concernant les <iframe> dans l’espace privé

Dorénavant, un attribut sandbox est ajouté automatiquement aux balises 
<iframe> dans l’espace privé, afin d’éviter des failles de type XSS. 
Par conséquent, certaines <iframe> ne sont plus affichées correctement 
dans l’espace privé. Rassurez-vous cela n’a aucun impact dans l’espace 
public.

Pour les personnes utilisant des services de vidéo externes (comme 
peertube, youtube ou dailymotion) qui souhaitent rétablir l’affichage 
de ces vidéos dans l’espace privé, il convient d’installer la dernière 
version du plugin oEmbed (v3.5.0).

La version 4.4.8 apporte les améliorations ou corrections de bugs 
suivantes :

    Sécuriser l’affichage des iframe éventuelles soit par échappement 
soit par sandboxing selon les cas

    Améliorer la détection de contenus malicieux dans 
echapper_html_suspect()

    La fonction safehtml() accepte un tableau d’options en second 
argument, vide par défaut, que l’on passe à inc_safehml_dist() (ou 
fonction surchargée)

    Fonction afficher_html_suspect() pour assurer le rendu du HTML 
suspect échappé

    Corrections de deprecated en PHP 8.5+

    Éviter une indéfinie lors de l’affectation des doublons documents
    Si un pipeline corrompt args/data, le dénoncer dans les logs et en 
erreur_squelette

    prepare_icone_base() envoyait une classe erronée depuis le passage 
en SVG

    Inscription : ne pas générer 2 fois de suite un jeton
    Inscription : rétablir les paramètres passés au modèle de 
notification

    Authentification HTTP : assigner l’auteur à la session uniquement 
si on a pu le récupérer

    Affichage de l’ID d’un auteur sur page Visiteurs

    Faire fonctionner le sélecteur d’article avec le paramètre 
limite_branche

    En l’absence de date de rédaction antérieure, ne pas pré-remplir 
avec 0000-00-00 00:00

    Sur petit écran, afficher le nom des auteurs dans les listes
    Afficher le nombre d’articles dans les différentes listes de la 
page d’accueil

    Chaînes de langue singulier et pluriel sur toutes les listes 
d’objets qui manquaient

    Limiter à 500000 les listes d’articles paginés dans l’espace privé 
et à 25 pour les articles les plus récents

    Sécuriser les paramètres align et class pour les modèles de 
documents

    Prise en charge des documents de type apk
    Autorisation de drag’n’drop plus spécifique dans le plan de 
l’espace privé pour être configurable finement

    Options allowIframe et allowIframeURIRegexp permettant d’accepter 
des iframe, éventuellement sur la base d’une regexp pour l’URL.

    inc_safehtml_dist() accepte un tableau d’options en second 
argument, vide par défaut.

    Mise à jour des librairies htmlpurifieur-html5 en 0.1.12 & 
htmlpurifier en 4.19.0 (corrections diverses & PHP 8.4+)

    Correction d’une erreur fatale avec le plugin stat_objets
    Fonction svp_depoter_distant_variantes_url() pour générer des 
variantes d’url pour les dépôts

    Actualise les dépôts distants avec les nouvelles variantes 
d’archives par branches SPIP, plus légers

    Correction d’un bug pour les plugins avec extension PHP requise 
sans compatibilité associée

    Optimisations mémoire lors de la lecture des dépôts de plugins
    Prendre en charge la constante _DEV_VERSION_SPIP_COMPAT dans la 
fonction svp_phraser_archives()

    Inspecter aussi les balises input, form, button et a dans la 
sécurisation des contenus

    Homogénéiser les détections de la même manière que 
echapper_html_suspect() du core

    Utiliser les fonctions afficher_html_suspect() et is_html_safe()
    Suppression des fichiers backend-breves.html et breve.html 
(intégrés au plugin Brèves)


Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour au moyen de la dernière version de 
spip_loader (version 6.2.1).

spip_loader est distribué à l’adresse suivante : https://get.spip.net/

Le fichier spip_loader.php est un script compilé dans le format 
binaire phar. Si vous avez besoin de personnaliser l’installation en 
définissant des constantes, il vous faut créer un fichier de 
configuration spip_loader_config.php (cf 
https://www.spip.net/fr_article5705.html).


Résumé des versions de SPIP
Branche 	Version 	Suivi 	Compatibilité PHP
SPIP 4.4 	4.4.8 	Maintenance active 	PHP 7.4 à PHP 8.5


Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html
Pour rappel, le support de la branche 4.3 s’est terminé fin décembre 
2025, pensez à mettre à jour vos sites vers la branche 4.4.


Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste 
https://discuter.spip.net/c/spip-ann/13

Bien sûr, les réseaux sociaux sont de la partie :

    Seenthis : https://seenthis.net/people/spip
    Facebook : https://www.facebook.com/spip.net
    Mamot : https://mamot.fr/@spip


Une question, besoin d’aide ?

En cas de problème ou de difficultés, il y aura certainement quelqu’un 
pour vous aider sur IRC, n’hésitez pas à venir poser vos questions 
https://irc.spip.net ou sur notre serveur Discord.


Vous pouvez aussi poster un message et échanger sur :

    La liste des utilisateurs et utilisatrices 
https://discuter.spip.net/c/spip/6
    La liste du développement spip-dev 
https://discuter.spip.net/c/spip-dev/5

Nous vous rappelons que pour signaler une faille, il suffit d’envoyer 
un mail à securite@spip.net.



=========================================================
+ CERT-RENATER        |    tel : 01-53-94-20-44         +
+ 23/25 Rue Daviel    |    fax : 01-53-94-20-41         +
+ 75013 Paris         |   email:cert@support.renater.fr +
=========================================================