Deux failles de sécurité ont été découvertes récemment dans SPIP :
- une faille critique permettant l’injection de code PHP (merci à g0uZ et sambecks, team root-me)
- une faille secondaire permettant l’injection d’objets par unserialize (merci à Gilles Vincent)
Ces failles sont sérieuses et affectent toutes les versions de SPIP. Il est impératif de mettre à jour votre site SPIP dès que possible.
Pour les sites qui ne peuvent pas être immédiatement mis à jour, il est nécessaire d’installer la version 1.2.4 de l’écran de sécurité qui corrige la faille critique
http://www.spip.net/fr_article4200.html
Annonce complète et détails
https://blog.spip.net/789