Multiple vulnerabilities in SPIP, including remote code execution, SQL injection, and security policy bypass, were addressed in a security update. All versions prior to SPIP 4.4.10 are affected. The solution is to apply the patch by upgrading to SPIP version 4.4.10, as detailed in the referenced security bulletin.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 26 février 2026 N° CERTFR-2026-AVI-0217 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans SPIP Gestion du document Référence CERTFR-2026-AVI-0217 Titre Multiples vulnérabilités dans SPIP Date de la première version 26 février 2026 Date de la dernière version 26 février 2026 Source(s) Bulletin de sécurité SPIP du 26 février 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Contournement de la politique de sécurité Exécution de code arbitraire à distance Injection SQL (SQLi) Systèmes affectés SPIP versions antérieures à 4.4.10 Résumé De multiples vulnérabilités ont été découvertes dans SPIP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une injection SQL (SQLi) et un contournement de la politique de sécurité. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité SPIP du 26 février 2026 https://blog.spip.net/Mise-a-jour-de-securite-sortie-de-SPIP-4-4-10.html Gestion détaillée du document le 26 février 2026 Version initiale