[Résolu] Bug : Statut des auteurs (Admin/redac) en 4.4.11

JuL_BLoBuL · Mars 3, 2026, 7:35

Bonjour,
Je constate un bug sur mes sites en 4.4.11, sans aucun plugin activé.

Le formulaire d’edition auteur présente un bug sur le selecteur de statut :

quelque soit le statut d’un auteur, le choix affiché dans le select est « admin » lors d’une modification

Cela a pour conséquence, que lors de la modification d’une fiche auteur, si l’utilisateur ne fait pas attention, l’auteur se voit promu administrateur par inadvertance…

J’ignore si ce bug provient de la 4.4.11, en tout cas, je m’en suis aperçu qu’aujourd’hui.

Merci de vos lumières.
Julien

JuL_BLoBuL · Mars 3, 2026, 7:48

Je vois que la version 4.4.10 introduit un fix probablement lié :

Bug d’autorisation au chargement du formulaire d’institution générique pour les objets sans parents et les personnes non webmestre

Jack31 · Mars 3, 2026, 7:49

Je confirme sur plusieurs sites (y compris spip.net). Peux-tu faire un ticket ?

JuL_BLoBuL · Mars 3, 2026, 7:50

C’est un client qui me l’a remonté, je le reproduit sur d’autres sites en prod, et celui de dev sans plugin, cache vidé.

choucas · Mars 3, 2026, 7:58

Bonjour,
test effectué en 4.4.7 et en 4.4.11
problème confirmé en 4.4.11
Clt

maieul · Mars 4, 2026, 12:47

Le bug est corrigé dans les version de dev. On devrait releaser vendredi matin selon toute vraisemblance.

JuL_BLoBuL · Mars 6, 2026, 7:32

Excellente nouvelle, je l’attends avec impatience, le fait que des admins peuvent être promu par erreur ne me réjouie pas plus que ca

marcimat · Mars 6, 2026, 10:06

C’est sorti ! Alors il faut déjà être admin pour cela, mais oui, c’était bien fâcheux … Il nous manquait quelques tests.

Natacha_Courcelles · Mars 6, 2026, 10:35

Bonjour
l’annonce est pour la 4.4.12 mais spip_loader dit 4.4.13
Normal ?
Merci

JamesRezo · Mars 6, 2026, 10:38

Normal, oui.

nicod · Mars 6, 2026, 10:47

Oui, la 4.4.12 a eu une vie très éphémère.

C’est précisé dans l’annonce : Mise à jour de sécurité : sortie de SPIP 4.4.13 - SPIP Blog

maathieu · Mars 6, 2026, 12:59

La màj mentionne « correctif de sécurité » mais c’est juste cette histoire de promotion des auteurs en admins c’est ça ? Ce n’est pas quelque chose qui peut se déclencher sans authentification ?

maieul · Mars 6, 2026, 1:04

Non ça ne peut pas de faire sans authentification. Mais ça ouvre la possibilité de promouvoir par erreur des comptes. Et donc c’est une vulnérabilité

marcimat · Mars 6, 2026, 1:10

Oui, il fallait être admin, dans l’admin, et éditer un auteur…

Ça corrige d’autres bugs probablement ailleurs.

J’espère vraiment qu’on a pu traiter la majorité des problèmes, parce qu’on fatigue un peu là .

Il est temps de se poser et d’améliorer quelques points autour des releases de la branche 4.4… on avait pas mal amélioré le processus, mais il manque des vérifications automatiques en « CI ». On a fait cela sur la 5.0-dev, mais le temps passe, et on voit que c’est important de vérifier nos reports notamment à cause des versions mini de PHP différentes…

Natacha_Courcelles · Mars 6, 2026, 5:09

un grand merci à toute l’équipe ! bon week end !!

JuL_BLoBuL · Mars 6, 2026, 5:34

Merci pour votre réactivité à tous.

De mon coté c’était très craignos pour reprendre le terme consacrée.

Je travaille avec des assos qui mettent à jour très régulièrement les fiches auteurs de leur membre, donc on s’est vite retrouvé avec des admin en pagaille… sans trop comprendre pourquoi pendant un temps.

Merci encore!