Bonjour à tous,

Nous allons procéder à la mise à jour de la version de SPIP avec la toute nouvelle version 4.2.13.

Celle-ci se déroulera le jeudi 30 mai à partir de 7h00.

Cette version corrige une faille critique permettant l’exécution de code (RCE) depuis l’espace public.
Il est impératif que nous mettions à jour votre site SPIP immédiatement.

En plus de la correction de la faille de sécurité, cette version apporte les améliorations ou corrections de bugs suivantes. :

• Appliquer un filtre attribut_url() aux endroits pertinents
• Pouvoir rendre statique les modèles de formulaires dans certains contextes
• Écran de sécurité en version 1.6.0
• Filtre attribut_url() pour formater des attributs href et src
• Rétablir la possibilité de masquer certains champs des formulaires d’articles et de rubriques via le pipeline formulaire_charger
• Éviter une fatale depuis echapper_html_suspect(), qui initialisait une valeur de connect incorrecte.
• Petite optimisation sur svg_nettoyer()

bigup

• Activer Bigup aussi sur les input non autofermants (HTML5)
• Erreur JS sur l’upload d’un fichier sans extension

compresseur

• Utiliser la fonction svg_nettoyer() introduite dans SPIP

images

• Éviter des notices en PHP 8 sur le filtre |image_flou

forum

• Appliquer un filtre attribut_url() aux endroits pertinents

medias

• Appliquer un filtre attribut_url() aux endroits pertinents

porte plume

• Interdire par défaut l’évaluation de code PHP (qui ne devrait plus être nécessaire) lors de la prévisualisation du porte plume
• Limiter par défaut l’usage de la prévisualisation dans l’espace public aux administrateurs
• Autorisation autoriser_modelesphp_previsualiser_dist (retourne false par défaut)
• L’autorisation autoriser_porteplume_previsualiser_dist est limitée aux admins dans l’espace public.

svp

• Support de la branche 4.3 de SPIP

dist

• Appliquer un filtre attribut_url() aux endroits pertinents

Cordialement,

Équipe WebTice
Rectorat de l’Académie de la Guyane