Suite au signalement d’une faille critique de sécurité, nous publions une version 4.0.4 ainsi qu’une version 3.2.13 de maintenance.
SPIP 4.0.4
Cette version SPIP 4.0.4 corrige une faille critique qui permettait une exécution arbitraire de code PHP. Merci à g0uZ pour le signalement :)
Autres corrections
ne pas pouvoir modifier son login en tant que rédacteur (g0uZ)
bien appliquer des header silencieux (qui n’indiquent pas la version de SPIP) quand la configuration le demande (notons que ça n’empêche pas de pouvoir déterminer par d’autres procédés la version de SPIP utilisée)
L’écran de sécurité ne couvre pas cette faille, il est donc indispensable de mettre à jour.
SPIP 3.2.13
Les versions antérieures de la branche 3.2 ne sont pas affectées par la faille signalée. Cependant, nous publions la version 3.2.13 qui corrige les autres points, ainsi que certains bugs :
ne pas pouvoir modifier le login en tant que rédacteur (g0uZ)
bien appliquer des header silencieux (qui n’indiquent pas la version de SPIP) quand la configuration le demande
rétablir le traitement _TRAITEMENT_TYPO_SANS_NUMERO (multi, supprimer_numero, etc) sur la balise #NOM des auteurs
prise en charge des fichier .jpeg lors de l’ajout d’un document distant