Ce mail provient de l'extérieur, restons vigilants ===================================================================== CERT-Renater Note d'Information No. 2026/VULN192 _____________________________________________________________________ DATE : 18/02/2026 HARDWARE PLATFORM(S): / OPERATING SYSTEM(S): Systems running SPIP versions prior to 4.4.9. ===================================================================== https://blog.spip.net/Mise-a-jour-de-securite-sortie-de-SPIP-4-4-9.html _____________________________________________________________________ Mise à jour de sécurité : sortie de SPIP 4.4.9 mercredi 18 février 2026, par L’équipe maintenance La version 4.4.9 apporte des correctifs à des bugs introduits dans la 4.4.8. Elle corrige également quatre failles de sécurité. Un grand merci à Dorian Piette (Trachinus) pour les signalements. Cette version corrige quatre petites failles de sécurité : deux dans l’espace privé avec les sites syndiqués (blind SSRF et stored XSS) lors de l’utilisation d’URL malicieuses une autre XSS dans l’espace privé (en complément de la correction précédente dans SPIP  4.4.8) la quatrième dans l’espace public pour un cas d’usage improbable (Insecure Deserialization) nécessitant un code malveillant présent préalablement à l’attaque. Encore une fois, merci à Dorian Piette (Trachinus) pour les signalements. Ces failles ne sont pas prises en charge par l’écran de sécurité. Nous en profitons pour souhaiter la bienvenue à Arthur Deloffre (Vozec) qui a rejoint l’équipe de sécurité :) La version 4.4.9 apporte les améliorations ou corrections de bugs suivantes : Éviter une réentrance / plantage du serveur côté privé sur les articles contenant du code JS à échapper (bug introduit en 4.4.8) Erreurs sur la page visiteurs de l’espace privé (?exec=visiteurs, bug introduit en 4.4.8) Appliquer systématiquement echappe_anti_xss() pour les balises input,form,button,a Limiter l’usage de données sérialisées dans le filtre table_valeur et l’itérateur DATA, et déprécier cet usage qui sera supprimé en SPIP 5 Sécuriser l’affichage de #URL_SYNDIC sur la page privé d’un site Lors de l’édition d’un site, vérifier que l’URL de syndication est bien une URL distante Mise à jour de la librairie svg-sanitizer en 0.22.0 S’assurer que la constante IMAGETYPE_SVG est bien définie Notices PHP diverses Mettre à jour en utilisant le spip_loader Vous pouvez aussi mettre à jour au moyen de la dernière version de spip_loader (version 6.2.1). spip_loader est distribué à l’adresse suivante : https://get.spip.net/ Le fichier spip_loader.php est un script compilé dans le format binaire phar. Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html). Résumé des versions de SPIP Branche Version Suivi Compatibilité PHP SPIP 4.4 4.4.9 Maintenance active PHP 7.4 à PHP 8.5 Pour connaître le détail des versions maintenues : https://www.spip.net/fr_article6500.html Pour rappel, le support de la branche 4.3 s’est terminé fin décembre 2025, pensez à mettre à jour vos sites vers la branche 4.4. Comment être tenu au courant de ces annonces ? C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13 Bien sûr, les réseaux sociaux sont de la partie : Seenthis : https://seenthis.net/people/spip Facebook : https://www.facebook.com/spip.net Mamot : https://mamot.fr/@spip Une question, besoin d’aide ? En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, n’hésitez pas à venir poser vos questions https://irc.spip.net ou sur notre serveur Discord. Vous pouvez aussi poster un message et échanger sur : La liste des utilisateurs et utilisatrices https://discuter.spip.net/c/spip/6 La liste du développement spip-dev https://discuter.spip.net/c/spip-dev/5 Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à securite@spip.net. ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 23/25 Rue Daviel | fax : 01-53-94-20-41 + + 75013 Paris | email:cert@support.renater.fr + =========================================================