CVE-2023-27372

Exécution de Code à Distance dans SPIP

Une faille de sécurité critique, identifiée comme CVE-2023-27372, a été découverte dans SPIP, un système de gestion de contenu open-source. Cette vulnérabilité permet à des attaquants non authentifiés d’exécuter du code arbitraire sur des serveurs vulnérables.

Le problème réside dans la gestion incorrecte de la sérialisation des valeurs de formulaires dans la partie publique de SPIP. En soumettant des objets sérialisés malicieusement conçus via les champs de formulaire, un attaquant peut exploiter cette faille pour injecter et exécuter du code sur le serveur.

Points Clés:

• Type de vulnérabilité : Exécution de Code à Distance (RCE).
• Produit affecté : SPIP (Système de Gestion de Contenu Open-Source).
• Attaquant : Non authentifié.
• Mécanisme : Mauvaise gestion de la sérialisation des valeurs de formulaires.

Vulnérabilités:

• CVE-2023-27372 : Exécution de Code à Distance (RCE) dans SPIP en raison d’une mauvaise gestion de la sérialisation des données de formulaires.

Versions Affectées :

• SPIP versions antérieures à 4.2.1.
• SPIP versions antérieures à 3.2.18.
• SPIP versions antérieures à 4.0.10.
• SPIP versions antérieures à 4.1.8.

Recommandations :

• Mettre à jour SPIP vers une version corrigée (4.2.1 ou ultérieure, ou les versions corrigées correspondantes pour les branches 3.2, 4.0 et 4.1).

Source