Hello la liste,
J’ai à mon tour eu affaire au hacker spécialisé en SPIP le 10 mars sur un SPIP 3.0.5 avec écran de sécu 1.1.3
Le log y correspondant est :
36.70.30.80 - - [10/Mar/2015:07:00:04 +0100] "GET /spip.php?action=confirmer_inscription&email=zeynnymouz%40gmail.com&jeton=104095643954fe88425791e0.23720211 HTTP/1.1" 302 301 « -"
Cela a donné la possibilité de créer un user admin .. je comprends pas trop comment..
C’était peut être connu sur ces versions mais je vous livre cette expérience à tout hasard.
J’ai évidemment supprimé le user créé et mis à jour le SPIP et l’écran de sécu depuis.
Bonne journée à tous,
fwedboot
Bonjour,
de manière générale les messages concernant la sécurité et des éventuelles failles doivent être envoyés sur spip-team at rezo.net et non sur une liste public, car si par mégarde tu dévoiles une faille qui n'est pas encore connue de nous ni patchée, tu donnes la possibilités aux méchants scripts kiddies de l'exploiter à fond le temps qu'on fasse une release.
Dans le cas présent rien de grave, la faille est connue, corrigée dans les dernières versions stables, donc la mise à jour de SPIP et de l'écran de sécurité (comme tu l'as fait) suffiront à te protéger. Vérifie tout de même que rien d'autre n'a été compromis sur le site.