Mise à jour de maintenance et sécurité : sortie de SPIP 4.2.8, SPIP 4.1.14

b_b · Janvier 11, 2024, 2:59

Ces nouvelles versions corrigent certains bugs et une petite faille de sécurité de type XSS.

Annonce complète et détails

Télécharger SPIP

TitouFromMars · Janvier 12, 2024, 9:52

Bonjour,
Depuis la mise à jour vers SPIP 4.1.14 , j’ai javascript qui plante. La console indique :

Uncaught TypeError: unsafe.replaceAll is not a function
    escapeHtml https://bouticycle.com/local/cache-js/1eb91c571733f25e272c7dd77595af3b.js?1705052254:9065
    <anonymous> https://bouticycle.com/local/cache-js/1eb91c571733f25e272c7dd77595af3b.js?1705052254:9075
1eb91c571733f25e272c7dd77595af3b.js:9065:2

Le fichier impliqué semble être /plugins-dist/bigup/javascript/bigup.utils.js et plus précisément à la fin du fichier :

$.escapeHtml=function(unsafe){
return unsafe
.replaceAll('&','&amp;')
.replaceAll('<','&lt;')
.replaceAll('>','&gt;')
.replaceAll('"','&quot;')
.replaceAll("'",'&#039;');
}

J’ai vidé le cache (par l’interface, puis manuellement sur le serveur), mais sans changement. Une idée de ce qui peut poser problème ?

RealET · Janvier 12, 2024, 10:04

Bien vu !
Et en cours de correction : #4898 - fix: Ajout d'un point-virgule manquant - bigup - SPIP on GIT

b_b · Janvier 12, 2024, 10:12

Oui, on est en train de préparer la version 4.1.1.5 qui corrigera ça

marcimat · Janvier 12, 2024, 10:51

et donc Mise à jour de maintenance : sortie de SPIP 4.1.15

Étonnamment ça n’affecte pas SPIP 4.2.8 directement, donc ce correctif attendra la prochaine release, certainement le mois prochain. Il y a néanmoins un paquet bigup à jour du correctif si besoin.

TitouFromMars · Janvier 12, 2024, 11:01

Ben merci pour la réactivité en tout cas