Une boucle non vérifiée permet de s’octroyer des droits en écritures sur la base de données du logiciel de gestion de contenu Spip.
A vos mises à jour !
Spip sous le coup d’une alerte de sécurité ! Le site des anciens étudiants en multimédia réseau DUMAC en tremble encore !
http://blog.spip.net/SPIP-3-0-9-2-1-22-2-0-23.html
Il est expliqué sur ce wiki :
http://core.spip.org/projects/spip/repository/revisions/20541
"« Inscription d’un auteur : le commentaire dit "Si mode inconnu laisser faire, c’est une extension non std", mais passer quand meme par une autorisation, qui par défaut sera a false (puisque l’auteur est non connu, donc non identifié, il n’a aucun droit par defaut).
Il suffit que autoriser("inscrireauteur","xxx") renvoie true pour permettre l’inscription d’un auteur avec le statut xxx »"
Si votre site est propulsé par l’écureuil Spip sous les versions 2.0, 2.1 et 3.0, il est l’heure de procéder aux mises à jour.