Ce mail provient de l'extérieur, restons vigilants

=====================================================================

                            CERT-Renater

                Note d'Information No. 2026/VULN223
_____________________________________________________________________

DATE                : 26/02/2026

HARDWARE PLATFORM(S): /

OPERATING SYSTEM(S): Systems running SPIP versions prior to 4.4.10.

=====================================================================
https://blog.spip.net/Mise-a-jour-de-securite-sortie-de-SPIP-4-4-10.html
_____________________________________________________________________

Mise à jour de sécurité : sortie de SPIP 4.4.10

jeudi 26 février 2026, par L’équipe maintenance

La version 4.4.10 apporte des corrections de bugs et corrige trois
failles de sécurité. Un grand merci à Arthur Deloffre (Vozec),
Louka Jacques-Chevallier (Laluka) et Oreo pour les signalements.
Par ailleurs nous signalons aussi la correction de failles de
sécurités dans quatre plugins, merci à Chocapikk pour ces
signalements.


Cette version corrige trois failles de sécurité :

    une faille de type Authentication Bypass pour l’authentification
légère

    une faille de type Injection SQLI dans l’espace privé

    une faille de type RCE dans l’espace privé


Merci encore à Arthur Deloffre (Vozec), Louka Jacques-Chevallier
(Laluka) et Oreo pour les signalements.

Ces failles ne sont pas prises en charge par l’écran de sécurité.

La version 4.4.10 apporte les améliorations ou corrections de bugs
suivantes :

    Bug d’autorisation au chargement du formulaire d’institution
générique pour les objets sans parents et les personnes non webmestre
    Éviter une boucle infinie en respectant l’option ignore_echappe_js
lors du second appel de interdire_scripts()
    Mieux sanitizer les valeurs d’environnement tabulaires
provenant du GET ou POST
    Sécuriser le fallback de #TOTO vers #ENV{toto} (en dehors de
l’écran de sécurité aussi)
    Utiliser hash_equals dans verifier_low_sec()
    Brider unserialize() dans l’édition d’un logo
    Correction de deprecated avec PHP 8.5 dans l’archiviste

Par ailleurs :

    spip_sanitize_env_from_request() remplaçe spip_sanitize_from_request([...], '*') ou spip_sanitize_from_request([...], [...])
    Ce qui entraîne les dépréciations suivantes :
        Second argument * dans spip_sanitize_from_request($env, '*') : Utiliser spip_sanitize_env_from_request($env)
        Second argument array dans spip_sanitize_env_from_request($env, ['nom']) : Utiliser spip_sanitize_env_from_request($env, ['nom'])


Correction des failles de sécurité dans 4 plugins

Chocapikk nous a signalé des failles de sécurité dans 4 plugins.
L’équipe de sécurité s’est chargée de les corriger rapidement. Il
est impératif de mettre à jour les plugins suivants en vous rendant
dans l’espace d’administration.

Nom du plugin	Version minimale à utiliser	Nature de la faille

Referer spam             1.3.0        Unauthenticated SQL Injection
Tickets                  4.3.3        Unauthenticated RCE
Interface de traduction pour objets     2.2.2    Authenticated RCE
Des jeux dans vos articles (« Jeux »)   4.1.1    Reflected XSS


Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour au moyen de la dernière version
de spip_loader (version 6.2.1).

spip_loader est distribué à l’adresse suivante : https://get.spip.net/

Le fichier spip_loader.php est un script compilé dans le format
binaire phar. Si vous avez besoin de personnaliser l’installation
en définissant des constantes, il vous faut créer un fichier de
configuration spip_loader_config.php
(cf https://www.spip.net/fr_article5705.html).


Résumé des versions de SPIP

Branche 	Version 	Suivi 	Compatibilité PHP
SPIP 4.4 	4.4.10 	Maintenance active 	PHP 7.4 à PHP 8.5

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html
Pour rappel, le support de la branche 4.3 s’est terminé fin
décembre 2025, pensez à mettre à jour vos sites vers la branche
4.4.


Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste
https://discuter.spip.net/c/spip-ann/13

Bien sûr, les réseaux sociaux sont de la partie :

    Seenthis : https://seenthis.net/people/spip
    Facebook : https://www.facebook.com/spip.net
    Mamot : https://mamot.fr/@spip


Une question, besoin d’aide ?

En cas de problème ou de difficultés, il y aura certainement
quelqu’un pour vous aider sur IRC, n’hésitez pas à venir poser
vos questions https://irc.spip.net ou sur notre serveur Discord.


Vous pouvez aussi poster un message et échanger sur :

    La liste des utilisateurs et utilisatrices
https://discuter.spip.net/c/spip/6
    La liste du développement spip-dev
https://discuter.spip.net/c/spip-dev/5

Nous vous rappelons que pour signaler une faille, il suffit
d’envoyer un mail à securite@spip.net. 


=========================================================
+ CERT-RENATER        |    tel : 01-53-94-20-44         +
+ 23/25 Rue Daviel    |    fax : 01-53-94-20-41         +
+ 75013 Paris         |   email:cert@support.renater.fr +
=========================================================