En bref

  • CVE-2025-71243 : injection de code PHP non-authentifiée dans le plugin Saisies de SPIP permettant une exécution de code à distance (RCE) complète sans aucun prérequis d'accès
  • Affecte SPIP avec le plugin Saisies versions 5.4.0 à 5.11.0 — touche indirectement tous les sites utilisant le plugin Formidable (builder de formulaires le plus populaire de SPIP)
  • Un module Metasploit public automatise l'exploitation — corriger en urgence en mettant à jour le plugin Saisies vers la version 5.11.1

Les faits

CVE-2025-71243 est une vulnérabilité critique d'injection de code PHP permettant une exécution de code à distance (RCE) sans authentification, affectant le plugin "Saisies pour formulaire" (Saisies) du CMS open-source français SPIP. La faille a été découverte et divulguée publiquement par le chercheur en sécurité Chocapikk, qui a documenté l'ensemble du processus de recherche dans un article technique détaillé. Le CERT-FR a publié l'avis CERTFR-2026-AVI-0564 le 12 mai 2026 pour alerter les administrateurs SPIP francophones, et la vulnérabilité est référencée dans la base NVD/NIST et dans la base de données d'exploits de Rapid7.

SPIP est un CMS (Système de Publication pour l'Internet Partagé) particulièrement répandu dans l'écosystème francophone : collectivités territoriales, associations, universités, médias et organismes publics l'utilisent massivement. Cette forte présence dans le secteur public français rend CVE-2025-71243 particulièrement préoccupante pour les RSSI et DSI des administrations et des structures associatives qui n'ont pas nécessairement les ressources pour des cycles de patching rapides.

Le vecteur d'attaque repose sur le paramètre de formulaire _anciennes_valeurs, qui est interpolé sans assainissement dans un champ caché rendu avec l'option interdire_scripts=false. En SPIP, cette configuration permet l'exécution directe de code PHP via l'évaluation (eval) du moteur de template. Concrètement, un attaquant peut envoyer une requête HTTP GET ou POST banale, sans jeton CSRF, sans session et sans aucune authentification, en injectant du code PHP arbitraire dans ce paramètre. Le code est immédiatement exécuté par le serveur web avec les droits du processus web (www-data ou équivalent).

La vulnérabilité suit le même pattern que CVE-2023-27372, une RCE non-authentifiée dans SPIP exploitée massivement en 2023 et 2024, qui ciblait le paramètre oubli du formulaire de réinitialisation de mot de passe. CVE-2025-71243 cible quant à elle _anciennes_valeurs sur tout formulaire propulsé par le plugin Saisies. L'injection se produit durant la phase de chargement (charger) du formulaire, avant même que l'utilisateur ne soumette quoi que ce soit. Il suffit qu'un formulaire Saisies soit accessible publiquement sur le site pour exposer le vecteur d'attaque.

L'impact est décuplé par le fait que le plugin Saisies est rarement utilisé de manière autonome. Il est systématiquement installé comme dépendance de Formidable, le builder de formulaires le plus populaire de l'écosystème SPIP. Tout site ayant mis en place des formulaires de contact, d'inscription, de sondage ou de devis via Formidable expose automatiquement le vecteur d'attaque de CVE-2025-71243. Les estimations du chercheur Chocapikk et de SentinelOne suggèrent que la grande majorité des sites SPIP actifs utilisant des formulaires publics sont potentiellement exposés, représentant des milliers d'installations en France seule.

La gravité de la situation est aggravée par la disponibilité d'outils d'exploitation publics. Un module Metasploit a été intégré dans le framework (exploit/multi/http/spip_saisies_rce, via la Pull Request #21001 sur le dépôt GitHub de Metasploit-Framework). Ce module automatise la découverte des formulaires vulnérables et leur exploitation en quelques secondes, rendant l'attaque accessible à des acteurs peu sophistiqués sans connaissance approfondie de la faille. Rapid7 a officiellement documenté ce module dans sa base de données d'exploits lors du Metasploit Wrap-Up du 13 mars 2026. La barrière à l'entrée pour exploiter CVE-2025-71243 est désormais quasi-nulle.

L'originalité du vecteur tient dans les trois couches successives qui transforment ce qui ressemblerait à un XSS réfléchi en une RCE complète. Premièrement, SPIP permet l'exécution de PHP dans ses templates via des balises spécifiques du moteur. Deuxièmement, le rendu du champ caché s'effectue avec interdire_scripts=false, désactivant les protections d'assainissement habituelles. Troisièmement, l'absence totale de validation du paramètre _anciennes_valeurs permet l'injection directe. Chacune de ces couches, prise individuellement, aurait pu être atténuée, mais leur combinaison crée un vecteur d'exploitation trivial documenté par le chercheur Chocapikk, qui a publié un rapport complet sur son blog en février 2026.

Le chercheur Chocapikk a documenté avoir inversé la vulnérabilité en moins de 30 minutes grâce à une assistance par intelligence artificielle, illustrant l'accélération préoccupante de la recherche en sécurité offensive. La vulnérabilité affecte les versions 5.4.0 à 5.11.0 du plugin Saisies. La version corrigée 5.11.1 a été publiée par l'équipe SPIP, et le CERT-FR recommande également d'effectuer une mise à jour de SPIP vers la dernière version stable 4.4.14 ou supérieure. Des règles de détection pour les SIEMs et les WAFs ont été publiées pour identifier les tentatives d'exploitation via le paramètre incriminé dans les journaux d'accès web.

Impact et exposition

L'exposition est particulièrement large en France et dans les pays francophones où SPIP est massivement déployé. Les collectivités territoriales, mairies, conseils départementaux et régionaux, universités et grandes écoles, associations loi 1901, médias indépendants et portails gouvernementaux sont tous potentiellement concernés. Une exploitation réussie de CVE-2025-71243 donne à l'attaquant une exécution de code avec les droits du serveur web, permettant de lire les fichiers de configuration (identifiants base de données, clés API), de déposer des webshells persistants, d'exfiltrer les données des utilisateurs, d'utiliser le serveur comme relais d'attaque ou de pivot réseau.

Les conditions d'exploitation sont minimales : n'importe quel internaute disposant d'un accès réseau au site web peut lancer l'attaque. Aucune authentification, aucune connaissance interne de l'architecture, aucun prérequis particulier hormis la capacité d'envoyer une requête HTTP. La seule condition nécessaire est qu'un formulaire basé sur le plugin Saisies soit accessible au public, ce qui est le cas sur la quasi-totalité des sites SPIP ayant installé Formidable.

La disponibilité d'un module Metasploit public change radicalement le profil de menace. Avant cette publication, l'exploitation nécessitait une compétence technique minimale en développement d'exploits. Désormais, un script-kiddie équipé de Metasploit peut automatiquement scanner et exploiter des centaines de sites SPIP vulnérables en quelques minutes. Le risque d'exploitation massive et opportuniste est très élevé, similaire à ce qui s'était produit avec CVE-2023-27372 qui avait entraîné des compromissions massives de sites SPIP en France et à l'international.

Pour les sites potentiellement déjà compromis avant l'application du correctif, le risque ne s'arrête pas au patching du plugin. Des webshells peuvent avoir été déposés dans l'arborescence web, des backdoors créées dans le code source SPIP, des credentials de base de données exfiltrés. Une analyse forensique du site et du serveur s'impose après correction, incluant la vérification de l'intégrité des fichiers SPIP, des fichiers de configuration, et l'audit des accès SSH et FTP récents.

Recommandations immédiates

  • Mettre à jour le plugin Saisies vers la version 5.11.1 immédiatement via le gestionnaire de plugins SPIP (advisory : CERTFR-2026-AVI-0564)
  • Vérifier si le plugin Formidable est installé — s'il l'est, la mise à jour du plugin Saisies est critique car Formidable en dépend
  • Analyser les journaux d'accès web Apache/Nginx pour rechercher des requêtes contenant le paramètre _anciennes_valeurs avec des charges PHP injectées (patterns : eval, base64_decode, passthru, system)
  • Vérifier l'intégrité des fichiers du site (configuration, .htaccess, fichiers PHP) pour détecter des webshells déposés
  • Révoquer et régénérer tous les identifiants stockés dans les fichiers de configuration SPIP si une compromission est suspectée (base de données, API, FTP)
  • Désactiver temporairement les formulaires publics sur le site si la mise à jour immédiate est impossible
  • Effectuer une mise à jour complète de SPIP vers la dernière version stable 4.4.15 recommandée par le CERT-FR (CERTFR-2026-AVI-0635, 22 mai 2026)

⚠️ Urgence

Un module Metasploit public automatise entièrement l'exploitation de CVE-2025-71243. Tout site SPIP utilisant le plugin Saisies (ou Formidable) avec des formulaires accessibles au public est exposé à une compromission complète sans aucune authentification requise. L'exploitation massive et automatisée est en cours. Appliquez immédiatement la mise à jour du plugin Saisies vers la version 5.11.1 et auditez vos journaux web pour détecter toute compromission antérieure.

Comment savoir si je suis vulnérable ?

Dans l'interface d'administration SPIP, naviguez vers "Plugins actifs" et vérifiez la version du plugin "Saisies pour formulaires". Si la version est comprise entre 5.4.0 et 5.11.0 inclus, votre site est vulnérable. Vérifiez également si le plugin Formidable est installé, car sa présence implique presque systématiquement la présence de Saisies. Pour une vérification rapide depuis le terminal serveur, utilisez la commande : grep version /chemin/vers/spip/plugins/saisies/paquet.xml — la version 5.11.1 et supérieure indique que le correctif est appliqué.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit