Security
Headlines
HeadlinesLatestCVEs

Headline

CVE-2023-24258: Mise à jour de sécurité : sortie de SPIP 4.1.7, SPIP 4.0.9 et SPIP 3.2.17 – SPIP Blog

SPIP v4.1.5 and earlier was discovered to contain a SQL injection vulnerability via the _oups parameter. This vulnerability allows attackers to execute arbitrary code via a crafted POST request.

CVE
Open in Source
#sql#vulnerability#php

Accueil > Release > Mise à jour de sécurité : sortie de SPIP 4.1.7, SPIP 4.0.9 et SPIP 3.2.17

lundi 16 janvier 2023, par

Suite au signalement de plusieurs failles critiques de sécurité, nous publions les version 4.1.7, 4.0.9 et 3.2.17. Un grand merci à Abyss Watcher et à un retraité de la communauté SPIP pour ces signalements.

Ces versions corrigent deux failles de sécurité dont une pouvait permettre une injection SQL depuis l’espace d’administration et une autre exploitant le formulaire de rappel de mot de passe depuis l’espace public. Elles corrigent aussi un bug dans la gestion du cache des contextes Ajax, et rétablissent le fonctionnement du bouton qui permet de cocher toutes les mises à jour depuis la page de gestion des plugins dans SPIP 4.

Le détail des changements apportés à la branche 4.1 est disponible dans le ficher CHANGELOG.

Comme la dernière fois, si vous vous demandez pourquoi on est passé de la 4.1.5 à la 4.1.7, c’est tout simplement parce qu’on a découvert et corrigé un bug dans la sauvegarde de la base de données avec MySQL juste avant la release ^^

Mettre à jour en utilisant le spip_loader

Vous pouvez aussi mettre à jour au moyen de la dernière version du spip_loader (version 5.2.1)

Le spip_loader est maintenant distribué à l’adresse suivante
https://get.spip.net/

Le spip_loader.php est maintenant au format binaire phar. Si vous avez besoin de personnaliser l’installation en définissant des constantes, il vous faut créer un fichier de configuration spip_loader_config.php (cf https://www.spip.net/fr_article5705.html).

Résumé des versions de SPIP

Branche

Version

Suivi

Compatibilité PHP

SPIP 4.1

SPIP 4.1.7

Branche stable

PHP 7.4 à PHP 8.1

SPIP 4.0

SPIP 4.0.9

Branche stable

PHP 7.3 à PHP 8.0

SPIP 3.2

SPIP 3.2.17

Branche stable

PHP 5.4 à PHP 7.4

Les versions SPIP 3.1 et antérieures ne sont plus maintenues.

Pour connaître le détail des versions maintenues :
https://www.spip.net/fr_article6500.html

Comment être tenu au courant de ces annonces ?

C’est simple, inscrivez-vous sur la mailing liste https://discuter.spip.net/c/spip-ann/13

Bien sûr, les réseaux sociaux sont de la partie :

  • Seenthis : https://seenthis.net/people/spip
  • Mamot : https://mamot.fr/@spip
  • Facebook : https://www.facebook.com/spip.net

Une question, besoin d’aide ?

En cas de problème ou de difficultés, il y aura certainement quelqu’un pour vous aider sur IRC, N’hésitez pas à venir poser vos questions https://irc.spip.net

Vous pouvez aussi poster un message et échanger sur :

  • La liste des utilisateurs et utilisatrices https://discuter.spip.net/c/spip/6
  • La liste du développement spip-dev https://discuter.spip.net/c/spip-dev/5

Nous vous rappelons que pour signaler une faille, il suffit d’envoyer un mail à [email protected].

Un message, un commentaire ?

CVE: Latest News

CVE-2023-50976: Transactions API Authorization by oleiman · Pull Request #14969 · redpanda-data/redpanda
CVE
CVE-2023-6905
CVE
CVE-2023-6903
CVE
CVE-2023-6904
CVE
CVE-2023-3907
CVE