Un important trou de sécurité vient d’être détecté dans SPIP ; il affecte toutes les versions disponibles, sur tous les systèmes et dans toutes les configurations. Il convient de mettre à jour votre site le plus tôt possible.

La nouvelle version stable est la 1.8.2f, que vous pouvez récupérer :

  • En téléchargeant le paquet zip à l’adresse habituelle
  • Ou, si vous avez utilisé la méthode d’installation "spip-loader", en vous rendant à l’adresse http://MON-SITE/spip_loader.php3
La version de développement "SVN" a elle aussi été corrigée de ce bug, mais elle n’est évidemment pas recommandée "en production" [ bien qu’elle fasse déjà tourner quelques sites connus de la communauté :-) ] En cas de doute ou si vous rencontrez le moindre pépin, rendez-vous sur la liste des utilisateurs, spip@rezo.net Les seuls fichiers modifiés entre la 1.8.2e (précédente version stable) et la 1.8.2f (version stable courante) sont les suivants :
  • formulaires/inc-login_public.php3
  • formulaires/inc-formulaire_forum.php3
  • formulaires/inc-formulaire_inscription.php3
  • formulaires/inc-formulaire_signature.php3
  • formulaires/inc-formulaire_site.php3
  • inc-messforum.php3
L'équipe SPIP
Source: liste [Spip-Ann]

PS : a mise à jour de sécurité 1.8.2f était incomplète, vous pouvez télécharger SPIP 1.8.2g à l'endroit habituel http://www.spip.net/fr_download