Ce mail provient de l'extérieur, restons vigilants

=====================================================================

                            CERT-Renater

                Note d'Information No. 2026/VULN482
_____________________________________________________________________

DATE                : 12/05/2026

HARDWARE PLATFORM(S): /

OPERATING SYSTEM(S): Systems running SPIP versions prior to 4.4.14.

=====================================================================
https://blog.spip.net/Mise-a-jour-de-securite-sortie-de-SPIP-4-4-14.html
_____________________________________________________________________

Mise à jour de sécurité : sortie de SPIP 4.4.14

mardi 12 mai 2026, par L’équipe maintenance

La version 4.4.14 apporte des corrections de bugs et corrige deux
failles de sécurité. Un grand merci à Louka Jacques-Chevallier (Laluka),
Baptiste Rolando, Arthur Deloffre (Vozec), jvoisin et Cezame pour les
signalements.

Cette version corrige deux failles de sécurité :

    une faille de type RCE dans l’espace privé
    une faille de type RCE dans l’espace public, limitée à l’usage de
certaines configurations de nginx

Merci encore à Louka Jacques-Chevallier (Laluka), Baptiste Rolando,
Arthur Deloffre (Vozec), jvoisin et Cezame pour les signalements.

Ces failles ne sont pas prises en charge par l’écran de sécurité.

La version 4.4.14 apporte les améliorations ou corrections de bugs
suivantes :

    Meilleure sanitisation de HTTP_HOST
    Correction de la prise en charge de REMOTE_USER lors de
l’utilisation de nginx
    La balise #CHEMIN_IMAGE prend aussi en charge les fichiers
avif, webp et jpg
    Les constantes _ROOT_RACINE et _ROOT_RESTREINT sont dépréciées
    Correction du formulaire d’institution d’objet pour les personnes
non webmestres avec un objet sans parent
    Correction de la chaîne de langue pour les articles à paraître
    Conditionner l’affichage des liens ical dans Suivre la vie du
site
    Déplacement de squelettes dédiés vers les plugins Organiseur &
Pétitions (pensez à mettre à jour ces plugins si vous les utilisez)
    Émettre un log lors de l’utilisation de compacte() qui est déprécié
depuis longtemps ; utiliser minifier()
    Dans certains cas avec SVG le filtre svg_filter_sepia est absent
et nécessite d’être chargé
    Correction d’un deprecated en PHP 8.5 sur la création d’un message
de forum interne
    Certains champs de documents de doivent pas être éditables
manuellement
    Correction d’un warning quand un item RSS comporte une balise
source auto-fermante
    Réparer le bouton « Tenter une nouvelle récupération » quand
un site est en erreur de syndication
    Correction d’un type incorrect dans svp_redirige_boucle créant
une erreur fatale en PHP 8.5


Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour au moyen de la dernière version de
spip_loader (version 6.2.1).

spip_loader est distribué à l’adresse suivante : https://get.spip.net/

Le fichier spip_loader.php est un script compilé dans le format binaire
phar. Si vous avez besoin de personnaliser l’installation en définissant
des constantes, il vous faut créer un fichier de configuration
spip_loader_config.php (cf https://www.spip.net/fr_article5705.html).


Résumé des versions de SPIP

Branche 	Version 	Suivi 	Compatibilité PHP
SPIP 4.4 	4.4.14 	Maintenance active 	PHP 7.4 à PHP 8.5

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html Comment être tenu au courant de
ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste
https://discuter.spip.net/c/spip-ann/13

Bien sûr, les réseaux sociaux sont de la partie :

    Seenthis : https://seenthis.net/people/spip
    Facebook : https://www.facebook.com/spip.net
    Mamot : https://mamot.fr/@spip

Une question, besoin d’aide ?

En cas de problème ou de difficultés, il y aura certainement quelqu’un pour
vous aider sur IRC, n’hésitez pas à venir poser vos questions
https://irc.spip.net ou sur notre serveur Discord.

Vous pouvez aussi poster un message et échanger sur :

    La liste des utilisateurs et utilisatrices https://discuter.spip.net/c/spip/6
    La liste du développement spip-dev https://discuter.spip.net/c/spip-dev/5

Nous vous rappelons que pour signaler une faille, il suffit
d’envoyer un mail à securite@spip.net. 


=========================================================
+ CERT-RENATER        |    tel : 01-53-94-20-44         +
+ 23/25 Rue Daviel    |    fax : 01-53-94-20-41         +
+ 75013 Paris         |   email:cert@support.renater.fr +
=========================================================