CRITICAL security update : SPIP 3.2.4 & SPIP 3.1.10 released

A critical security flaw in SPIP was recently brought to our attention letting any identified visitors execute random code.

It affects versions SPIP 3.1 prior to 3.1.10 and versions SPIP 3.2 priori to 3.2.4 and every websites running those versions.
Versions 3.0 and prior are not affected by this issue

It’s highly recommanded to perform an update as soon as possible.

SPIP team would like to thank Guillaume Fahrner who identified the flaw and alerted us.
If you can’t perform the update right now, the safety_screen version 1.3.11 blocks any attempt to exploit that flaw.
https://www.spip.net/en_article4201.html

Updating the safety_screen is a patch and does not come as a replacement for any needed SPIP upgrade. You should perform it as soon as possible.

Complete announcement & details
https://blog.spip.net/834

Download SPIP
https://www.spip.net/en_download

Discussion

Aucune discussion

Ajouter un commentaire

Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :

  • Désactiver tous les plugins que vous ne voulez pas tester afin de vous assurer que le bug vient bien du plugin X. Cela vous évitera d’écrire sur le forum d’une contribution qui n’est finalement pas en cause.
  • Cherchez et notez les numéros de version de tout ce qui est en place au moment du test :
    • version de SPIP, en bas de la partie privée
    • version du plugin testé et des éventuels plugins nécessités
    • version de PHP (exec=info en partie privée)
    • version de MySQL / SQLite
  • Si votre problème concerne la partie publique de votre site, donnez une URL où le bug est visible, pour que les gens puissent voir par eux-mêmes.
  • En cas de page blanche, merci d’activer l’affichage des erreurs, et d’indiquer ensuite l’erreur qui apparaît.

Merci d’avance pour les personnes qui vous aideront !

Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.

Qui êtes-vous ?
[Se connecter]

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Ajoutez votre commentaire ici

Ce champ accepte les raccourcis SPIP {{gras}} {italique} -*liste [texte->url] <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Ajouter un document

Suivre les commentaires : RSS 2.0 | Atom