Skip to content

SPIP 4.4.16 corrige SQLi, XSS et fuite de données (CERTFR-2026-AVI-0838)

Le CERT-FR publie l'avis 0838 : SPIP antérieur à 4.4.16 cumule injection SQL, XSS et atteinte à la confidentialité des données. Mettez à jour.

Publié le 5 min de lecture

Le CERT-FR a publié le 7 juillet 2026 l'avis CERTFR-2026-AVI-0838 sur multiples vulnérabilités dans SPIP. Les versions antérieures à SPIP 4.4.16 cumulent trois classes de bugs : injection SQL, injection de code indirecte à distance (XSS), et atteinte à la confidentialité des données. Le correctif est disponible en amont via l'annonce publiée sur le blog SPIP ; le tag 4.4.16 est le point de coupure exigé par l'avis.

SPIP est l'un des CMS les plus déployés dans le secteur public français — ministères, collectivités territoriales, associations subventionnées, universités — et cette configuration est exactement celle que couvre la note. Un site vitrine institutionnel qui n'a pas basculé sur 4.4.16 d'ici la semaine prochaine est un actif dont la posture de sécurité s'est mesurablement dégradée.

Ce que couvre l'avis

D'après l'avis CERT-FR, les impacts déclarés par l'éditeur sont :

  • Injection SQL — permet à un attaquant de manipuler les requêtes exécutées par le moteur SPIP. En pratique, sur un CMS PHP historique, une SQLi authentifiée sur un compte à faible privilège se transforme rapidement en accès en lecture à l'intégralité du schéma (comptes rédacteurs, hachés de mots de passe, données personnelles des visiteurs enregistrés).
  • Injection de code indirecte à distance (XSS) — permet l'exécution de JavaScript arbitraire dans le contexte du site, avec vol de session de rédacteur ou d'administrateur en cible directe.
  • Atteinte à la confidentialité des données — catégorie fourre-tout de l'avis CERT-FR, qui peut couvrir aussi bien un contournement d'autorisation qu'une divulgation de fichier interne.

L'avis ne détaille pas la répartition entre les CVE individuels. Le contenu de l'annonce éditeur reste la source à consulter pour la cartographie exacte : reportez-vous au billet du blog SPIP correspondant à la sortie 4.4.16.

Périmètres concernés

  • SPIP en versions antérieures à 4.4.16.

Les branches de maintenance plus anciennes sortent progressivement du support upstream ; si votre instance tourne encore en 4.3.x ou 4.2.x, la remédiation n'est pas seulement un git pull — c'est une montée de version majeure à planifier. Le fait que l'avis désigne uniquement 4.4.16 suggère fortement que les branches plus anciennes ne recevront pas de rétroportage.

Sur mutualisé, SPIP est fréquemment servi par le fournisseur d'hébergement dans une version qu'il maintient lui-même. La version réellement en production s'affiche dans l'espace privé (ecrire/) ; ne vous fiez pas à la version affichée par le panneau d'administration de l'hébergeur.

Statut de l'exploitation

Ni l'avis CERT-FR ni l'annonce éditeur ne mentionnent d'exploitation active à la date de publication. Aucun PoC public n'est référencé pour ce cycle au moment où nous écrivons.

La rétention historique reste néanmoins un signal : SPIP a fait l'objet en 2024 d'un cycle de RCE non authentifiée (CVE-2023-27372 puis CVE-2024-8517) qui a été rapidement industrialisé sur des sites institutionnels français. Une SQLi authentifiée est un cran en dessous en termes de gravité brute, mais elle reste le vecteur de pivot le plus prévisible sur un CMS PHP historique dont la surface est indexée par les moteurs.

Que faire

  1. Mettez à jour vers SPIP 4.4.16 — dans la semaine si le site expose un espace privé sur Internet, sous 48 heures si vous stockez des données personnelles (formulaires abonnement, espace membres, commentaires modérés). Le manuel d'upgrade se trouve dans la documentation officielle SPIP.
  2. Vérifiez la version réellement servie dans l'espace privé (/ecrire/, bas de page). Le numéro affiché par un panneau d'hébergement peut être obsolète de plusieurs semaines par rapport à la réalité fichiers.
  3. Rotez les hachés de mots de passe des comptes rédacteurs et administrateurs si vous n'avez pas de journal d'accès à l'espace privé sur les six derniers mois. Une SQLi authentifiée non détectée aurait exfiltré la table spip_auteurs.
  4. Contrôlez les plugins tiers. SPIP a un écosystème de plugins actifs qui embarquent leur propre surface — les cinq vulnérabilités plugins révélées début 2026 restent un précédent. Un site à jour sur le noyau mais qui traîne un plugin abandonné reste exposé.
  5. Auditez les journaux SPIP (ecrire/tmp/spip.log par défaut) pour toute activité inhabituelle sur les URL de type ?action=... ou ?exec=.... Ce sont les points d'entrée qu'un scanner opportuniste teste en premier.

Contexte

C'est le deuxième cycle de correctifs de sécurité SPIP à passer par le CERT-FR en six mois. La branche 4.4.x avait déjà reçu une mise à jour de sécurité en 4.4.15 fin mai 2026, elle-même précédée par une 4.4.13 sécuritaire. La cadence traduit un effort continu de l'équipe SPIP sur une base de code historique, dans un contexte où l'écosystème CMS PHP concentre à la fois beaucoup de dette technique et beaucoup d'exposition Internet.

Sur la même journée du 7 juillet, le CERT-FR a publié six autres avis (Microsoft Edge, PHP, Postfix, Microsoft Azure Linux, Firefox pour iOS, Zimbra Collaboration) — l'avis SPIP est le seul à couvrir un logiciel maintenu en France. Si votre DSI centralise le suivi CERT-FR, AVI-0838 doit remonter en priorité opérationnelle sur tout le parc SPIP, avant les autres avis du jour dont le périmètre est plus ciblé.

Articles liés