Bonjour à tous,
Nous allons procéder à la mise à jour de la version de SPIP avec la toute nouvelle version 4.2.13.
Celle-ci se déroulera le jeudi 30 mai à partir de 7h00.
Cette version corrige une faille critique permettant l’exécution de code (RCE) depuis l’espace public.
Il est impératif que nous mettions à jour votre site SPIP immédiatement.
En plus de la correction de la faille de sécurité, cette version apporte les améliorations ou corrections de bugs suivantes. :
- Appliquer un filtre attribut_url() aux endroits pertinents
- Pouvoir rendre statique les modèles de formulaires dans certains contextes
- Écran de sécurité en version 1.6.0
- Filtre attribut_url() pour formater des attributs href et src
- Rétablir la possibilité de masquer certains champs des formulaires d’articles et de rubriques via le pipeline formulaire_charger
- Éviter une fatale depuis echapper_html_suspect(), qui initialisait une valeur de connect incorrecte.
- Petite optimisation sur svg_nettoyer()
bigup
- Activer Bigup aussi sur les input non autofermants (HTML5)
- Erreur JS sur l’upload d’un fichier sans extension
compresseur
- Utiliser la fonction svg_nettoyer() introduite dans SPIP
images
- Éviter des notices en PHP 8 sur le filtre |image_flou
forum
- Appliquer un filtre attribut_url() aux endroits pertinents
medias
- Appliquer un filtre attribut_url() aux endroits pertinents
porte plume
- Interdire par défaut l’évaluation de code PHP (qui ne devrait plus être nécessaire) lors de la prévisualisation du porte plume
- Limiter par défaut l’usage de la prévisualisation dans l’espace public aux administrateurs
- Autorisation autoriser_modelesphp_previsualiser_dist (retourne false par défaut)
- L’autorisation autoriser_porteplume_previsualiser_dist est limitée aux admins dans l’espace public.
svp
- Support de la branche 4.3 de SPIP
dist
- Appliquer un filtre attribut_url() aux endroits pertinents
Cordialement,
Équipe WebTice
Rectorat de l’Académie de la Guyane