CERT-FR CERTFR-2026-AVI-0838 (7 juillet 2026) : multiples vulnérabilités dans SPIP < 4.4.10 dont injection SQL et RCE. Des milliers de sites publics français potentiellement exposés. Mise à jour immédiate requise.
En bref
- CERT-FR alerte (CERTFR-2026-AVI-0838, 7 juillet 2026) : multiples vulnérabilités dans SPIP dont injection SQL et injection de code à distance sur SPIP < 4.4.10
- Les failles CVE-2026-27743 à CVE-2026-27747 affectent le cœur de SPIP et plusieurs plugins officiels, touchant des milliers de sites publics français
- Action requise : mise à jour immédiate vers SPIP 4.4.10 ou version corrective disponible sur spip.net
Les faits
Le 7 juillet 2026, le CERT-FR (Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques) a publié l'avis de sécurité CERTFR-2026-AVI-0838, signalant de multiples vulnérabilités critiques dans SPIP, le système de publication web open source très répandu dans le secteur public, associatif et éducatif français. Parmi les failles identifiées figurent une injection SQL exploitable à distance et une injection de code permettant une exécution de commandes sur le serveur (RCE — Remote Code Execution). Le CERT-FR classe ces vulnérabilités comme permettant une atteinte à la confidentialité des données, une injection SQL et une injection de code indirecte à distance.
Les vulnérabilités concernent SPIP dans ses versions antérieures à 4.4.10. La faille principale d'injection SQL (CVE-2026-27743) réside dans la manière dont SPIP traite certains paramètres de requête utilisateur. Un attaquant authentifié disposant de privilèges éditeur peut injecter des expressions SQL arbitraires via une technique d'injection basée sur les clauses UNION, puis combiner cette injection SQL avec le système de balises PHP de SPIP pour obtenir une exécution de code arbitraire sur le serveur. Selon l'analyse publiée par le chercheur Chocapikk, auteur de la découverte, la chaîne d'exploitation complète SQLi → RCE est documentée et techniquement accessible à un attaquant ayant un compte éditeur sur l'instance SPIP cible.
Plusieurs plugins officiels de SPIP sont également affectés par des injections SQL indépendantes. Le plugin interface_traduction_objets dans les versions antérieures à 2.2.2 contient une injection SQL authentifiée via le paramètre id_parent, qui est directement concaténé dans une clause WHERE SQL sans validation. D'autres plugins du catalogue officiel sont concernés par les CVE-2026-27744 à CVE-2026-27747 selon le degré de validation des entrées appliqué. Le CERT-FR recommande d'appliquer les mises à jour disponibles non seulement sur le cœur de SPIP mais également sur l'ensemble des plugins installés.
SPIP est un logiciel de gestion de contenu libre développé en France depuis 2001. Sa place dans l'écosystème numérique public français est particulièrement importante : il est utilisé par de nombreuses collectivités territoriales (communes, intercommunalités, conseils départementaux), des établissements de l'enseignement supérieur (universités, grandes écoles), des associations loi 1901, des médias indépendants, des administrations centrales et des organismes parapublics. Une estimation conservatrice place à plusieurs dizaines de milliers le nombre de sites SPIP en production en France. Cette concentration dans le secteur public et associatif en fait une cible attractive pour des acteurs souhaitant dégrader des services publics, exfiltrer des données de bénéficiaires ou utiliser des serveurs compromis comme infrastructure d'attaque.
La combinaison injection SQL + RCE est particulièrement redoutable dans le contexte de SPIP. Un attaquant disposant d'un compte éditeur — un niveau de privilège parfois accordé largement dans les organisations gérant des sites SPIP de manière participative — peut d'abord extraire l'intégralité de la base de données SPIP via l'injection SQL (contenus éditoriaux, données des auteurs, mots de passe hachés, informations personnelles des abonnés éventuels), puis enchaîner avec l'exécution de code pour installer un webshell persistant, pivoter vers le serveur hôte et se déplacer latéralement sur l'infrastructure.
Les versions de SPIP antérieures à 4.x sont potentiellement concernées mais ne font plus l'objet d'un support officiel de la part de l'équipe de développement. Les sites SPIP encore sous version 3.x ou 3.2.x — qui représentent une fraction non négligeable du parc installé compte tenu de la complexité parfois perçue des migrations de version — ne recevront pas de correctif officiel et doivent être considérés comme définitivement vulnérables aux failles identifiées dans CERTFR-2026-AVI-0838 en l'absence d'une mise à jour vers la branche 4.4.
Les correctifs sont disponibles depuis le 6 juillet 2026 via le site officiel de SPIP (spip.net) et les mécanismes de mise à jour intégrés à l'interface d'administration. L'équipe SPIP a également publié une mise à jour d'urgence du plugin interface_traduction_objets vers la version 2.2.2. Le CERT-FR recommande d'appliquer les mises à jour dans les meilleurs délais, sans attendre le prochain cycle de maintenance planifié.
Les administrateurs système hébergeant des instances SPIP doivent également vérifier les journaux d'accès Apache/Nginx à la recherche de requêtes suspectes ciblant les points d'entrée identifiés dans les CVE publiées. Des indicateurs de compromission (IoC) spécifiques incluent des requêtes GET ou POST contenant des séquences SQL caractéristiques (UNION SELECT, SLEEP(), INTO OUTFILE) dans les paramètres des URLs SPIP, ainsi que la création de fichiers PHP inattendus dans les répertoires d'upload de SPIP (typiquement /IMG/ ou /local/).
Impact et exposition
Tous les sites SPIP en version inférieure à 4.4.10 sont exposés à l'injection SQL et potentiellement à la RCE si un compte éditeur est disponible pour l'attaquant. Le parc français est particulièrement large (collectivités, universités, associations, administrations). Les données à risque incluent les bases de données SPIP complètes (contenus, auteurs, abonnés) et potentiellement l'ensemble du serveur hôte via la RCE.
Recommandations
- Mettre à jour SPIP vers la version 4.4.10 immédiatement depuis l'espace privé SPIP (menu Mise à jour) ou depuis spip.net
- Mettre à jour tous les plugins installés, en particulier interface_traduction_objets vers la version 2.2.2
- Auditer les comptes éditeurs et contributeurs — supprimer ou désactiver les comptes inactifs ou non strictement nécessaires
- Vérifier les journaux d'accès pour détecter d'éventuelles tentatives d'exploitation antérieures à la mise à jour
- Pour les sites SPIP sous version 3.x : planifier une migration vers SPIP 4.4.x ou envisager le remplacement du CMS si la migration est impossible
Alerte critique
Les vulnérabilités CERTFR-2026-AVI-0838 permettent une exécution de code arbitraire à distance sur les instances SPIP < 4.4.10. Le secteur public français est massivement exposé. Mettre à jour en priorité et vérifier l'absence de compromission sur les instances non patchées.
Notre site SPIP est géré par un prestataire — comment s'assurer qu'il est bien patché ?
Demandez à votre prestataire une confirmation écrite de la version SPIP en production et la date d'application du patch CERTFR-2026-AVI-0838. La version de SPIP est visible dans l'espace privé sous Contenu > À propos de SPIP, ou dans le fichier /spip.php en page publique (en général). Si votre prestataire tarde à répondre ou à appliquer le correctif, escaladez : avec des données personnelles ou des services publics en jeu, un délai de mise à jour supérieur à 48h pour ce type de faille RCE authentifiée est inacceptable.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Conduent : 62,2 millions de victimes confirmées, la plus grande fuite santé depuis Anthem
Conduent révise à la hausse le bilan de sa violation de données à 62,2 millions de victimes — noms, SSN, données médicales et assurance santé compromis entre octobre 2024 et janvier 2025. Potentiellement la deuxième plus grande fuite santé de l'histoire américaine.
GhostLock CVE-2026-43499 : faille Linux 15 ans, PoC public, root et évasion de conteneur
CVE-2026-43499 GhostLock : use-after-free vieux de 15 ans dans le noyau Linux, PoC public fiable à 97 %. Escalade root et évasion de conteneur sur toutes distributions depuis 2011. Patch urgent.
ZCode : le rival de Claude Code soumis à la loi chinoise
Z.ai lance ZCode, un environnement de codage agentique gratuit propulsé par GLM-5.2, concurrent direct de Claude Code et Cursor — mais dont l'API cloud est soumise à la loi chinoise sur le renseignement national.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires (1)
Laisser un commentaire