Des failles de sécurité nous ont été signalées sur la branche 4.0, elles permettent des injections SQL, de l’exécution de code à distance, ainsi que quelques XSS.
Merci à Charles Fol et Théo Gordyjan pour ces multiples signalements !
La version SPIP 4.0.1 corrige toutes ces failles.
Nous sortons aussi une version SPIP 3.2.12 qui corrige ces failles pour la branche 3.2.
Annonce complète et détails
https://blog.spip.net/855
Télécharger SPIP
https://www.spip.net/fr_download
—
L’équipe