Le CERT-FR a émis un avis de sécurité le 22 mai 2026 concernant une vulnérabilité affectant le logiciel libre de gestion de contenu SPIP. Cette faille, découverte récemment, permet à un attaquant de contourner la politique de sécurité du système, exposant potentiellement les sites utilisant des versions non à jour à des accès non autorisés ou à des actions malveillantes.
Systèmes concernés
Sont vulnérables toutes les versions de SPIP antérieures à la version 4.4.15. Cette version, publiée le 22 mai 2026, corrige le défaut de sécurité. Les administrateurs de sites utilisant SPIP sont invités à appliquer la mise à jour sans délai.
Nature de la vulnérabilité
Selon le bulletin de sécurité de l'éditeur, la vulnérabilité relève d'un contournement de la politique de sécurité. Aucun détail technique supplémentaire n'a été divulgué afin de limiter les risques d'exploitation avant que les correctifs ne soient largement déployés. Le niveau de risque est considéré comme significatif, justifiant une réaction rapide.
Recommandations
Le CERT-FR recommande de se référer au bulletin de sécurité de l'éditeur SPIP pour obtenir les correctifs et les instructions de mise à jour. Les administrateurs doivent mettre à jour leurs installations vers SPIP 4.4.15 dans les plus brefs délais. Il est également conseillé de vérifier l'intégrité des sites après l'application du correctif.
Contexte
SPIP est un système de gestion de contenu (CMS) largement utilisé, notamment en France, par des institutions publiques, des associations et des entreprises. Toute faille de sécurité dans ce logiciel peut avoir un impact étendu, d'où l'importance de cette mise à jour de sécurité.
L'éditeur de SPIP a remercié les chercheurs en sécurité qui ont contribué à la découverte et à la résolution de cette vulnérabilité, dans le cadre d'une procédure de divulgation responsable.
