Mise à jour de sécurité des fermes SPIP 4.2.13

La mise à jour de sécurité des sites académiques est prévue le 30 mai à partir de 7h00.

Mis à jour le vendredi 7 juin 2024 , par Equipe WEBTICE

Bonjour à tous,

Nous allons procéder à la mise à jour de la version de SPIP avec la toute nouvelle version 4.2.13.

Celle-ci se déroulera le jeudi 30 mai à partir de 7h00.

Cette version corrige une faille critique permettant l’exécution de code (RCE) depuis l’espace public.
Il est impératif que nous mettions à jour votre site SPIP immédiatement.

En plus de la correction de la faille de sécurité, cette version apporte les améliorations ou corrections de bugs suivantes. :

  • Appliquer un filtre attribut_url() aux endroits pertinents
  • Pouvoir rendre statique les modèles de formulaires dans certains contextes
  • Écran de sécurité en version 1.6.0
  • Filtre attribut_url() pour formater des attributs href et src
  • Rétablir la possibilité de masquer certains champs des formulaires d’articles et de rubriques via le pipeline formulaire_charger
  • Éviter une fatale depuis echapper_html_suspect(), qui initialisait une valeur de connect incorrecte.
  • Petite optimisation sur svg_nettoyer()

bigup

  • Activer Bigup aussi sur les input non autofermants (HTML5)
  • Erreur JS sur l’upload d’un fichier sans extension

compresseur

  • Utiliser la fonction svg_nettoyer() introduite dans SPIP

images

  • Éviter des notices en PHP 8 sur le filtre |image_flou

forum

  • Appliquer un filtre attribut_url() aux endroits pertinents

medias

  • Appliquer un filtre attribut_url() aux endroits pertinents

porte plume

  • Interdire par défaut l’évaluation de code PHP (qui ne devrait plus être nécessaire) lors de la prévisualisation du porte plume
  • Limiter par défaut l’usage de la prévisualisation dans l’espace public aux administrateurs
  • Autorisation autoriser_modelesphp_previsualiser_dist (retourne false par défaut)
  • L’autorisation autoriser_porteplume_previsualiser_dist est limitée aux admins dans l’espace public.

svp

  • Support de la branche 4.3 de SPIP

dist

  • Appliquer un filtre attribut_url() aux endroits pertinents

Cordialement,

Équipe WebTice
Rectorat de l’Académie de la Guyane

Dans la même rubrique