SPIP et la sécurité
Publi� le 19 octobre 2006

 08.02.2006 : SPIP "spip_log" and "include_local" Remote Code Injection Vulnerabilities

 01.02.2006 : SPIP Multiple SQL Injection and Cross Site Scripting Vulnerabilities

 22.12.2005 : SPIP "spip_login.php3" and "spip_pass.php3" Cross Site Scripting Issue

Je me suis toujours demandé pourquoi il y avait peu d'alertes sécurités [1] concernant SPIP [2] :

-  en fait, SPIP est populaire dans les milieux francophones et beaucoup moins ailleurs
-  les pirates sont anglophones dans leur majorité
-  personne ne s'intéresse à SPIP ?
-  il n'y pas de consultants en sécurité francophones ?

En fait, les développeurs de SPIP se sont intéressés récemment à la sécurité comme on peut le constater dans cet article.


[1] Les failles ci-dessous sont probablement corrigées depuis la version 1.9 qui est une refonte complète.

[2] Contrairement à d'autre CMS tels que Joomla, Drupal, PHP Nuke ou phpBB.