Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- SPIP versions 4.2.x antérieures à 4.2.1
- SPIP versions 4.1.x antérieures à 4.1.8
- SPIP versions 4.0.x antérieures à 4.0.10
- SPIP versions 3.2.x antérieures à 3.2.18
Seules les branches 4.2.x et 4.1.x sont encore maintenues. Les branches 4.0.x et 3.2.x ont reçu un correctif de sécurité à titre exceptionnel car elles sont en fin de vie depuis le 23 février 2023.
Les versions 4.2.2, 4.1.9, 4.0.11 et 3.2.19 ont été publiées le 28 févier 2023 pour corriger un problème induit par la mise à jour de sécurité.
Résumé
Une vulnérabilité a été découverte dans SPIP. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SPIP du 27 février 2023 https://blog.spip.net/Mise-a-jour-critique-de-securite-sortie-de-SPIP-4-2-1-SPIP-4-1-8-SPIP-4-0-10-et.html
- Bulletin de sécurité SPIP du 28 février 2023 https://blog.spip.net/Mise-a-jour-sortie-de-SPIP-4-2-2-SPIP-4-1-9-SPIP-4-0-11-et-SPIP-3-2-19.html
- Référence CVE CVE-2023-27372 https://www.cve.org/CVERecord?id=CVE-2023-27372