Spip, le système de gestion de contenu (CMS) utilisé par notre propre site (et par de nombreux autres sites, comme la quasi-totalité des sites Indymedia) est passé hier en version 3.1.2. Plusieurs failles XSS ont été découvertes par des « experts en sécurité ». Les failles XSS (pour Cross-Site Scripting) permettent d’injecter du contenu (essentiellement Javascript, mais en fait n’importe quel langage compréhensible par un navigateur) dans des pages web. Ce type d’attaque permet donc d’injecter du contenu, mais également de rediriger un utilisateur. Les éditeurs de Spip parlent de failles non-critiques.
Quoi qu’il en soit, il est recommandé de toujours mettre son site Spip à jour le plus rapidement possible pour éviter un drame, pour se faire: voir « Utiliser le spip_loader pour une mise à jour » sur cette page après avoir fait un backup de votre site.
Mise à jour Spip 3.1.2