Bonsoir à tous,

nous avons corrigé un important trou de sécurité qui figurait dans les versions **de développement** de SPIP portant les numéros suivants : 1.8b2 CVS, 1.8b3, 1.8b3 CVS, 1.8b4 et 1.8b4 CVS, c'est-à-dire les versions "cvs" allant de fin novembre 2004 à fin janvier 2005.

Le problème est si grave (possibilité d'injection de commandes shell par n'importe quel visiteur du site, même non enregistré) qu'il faut, avant de publier des détails, attendre que chaque beta-testeur de SPIP ait pris le temps de mettre à jour son site.

La version 1.8b5 n'est pas touchée par ce bug, pas plus que la 1.8b6 actuellement disponible au téléchargement à l'adresse http://www.spip.net/spip-dev/DISTRIB/

Les versions datant d'avant la 1.8b2, et notamment la version stable 1.7.2, ne sont pas non plus touchées par ce problème, pas plus que les sites SPIP installés via "spip_loader".

Il est donc recommandé de passer en 1.8b6, dès que possible, tous vos sites utilisant la version de développement.

-- Fil

Cette information a été publiée sur la liste [Spip-Ann] et reprise ici telle quelle.