Mehrere Schwachstellen (CVE-2025-71243, CVE-2025-71250, CVE-2026-24834, CVE-2026-26030) in Spip
Zusammenfassung
Sicherheitsforscher haben eine kritische Deserialisierungs-Schwachstelle in SPIP-Versionen vor 4.4.9 entdeckt. Angreifer können durch Eingabe manipulierter, serialisierter Daten beliebigen Code ausführen. Die Lücke betrifft die table_valeur-Funktion und den DATA-Iterator, die unsicher mit serialisierten Nutzereingaben umgehen. Obwohl SPIP-Entwickler das Problem erkannt haben, scheinen die bisherigen Sicherheitsmaßnahmen nicht auszureichen. Admins sollten dringend auf SPIP 4.4.9 oder höher updaten.
Spip - Spip - CRITICAL - CVE-2025-71250.
SPIP versions prior to 4.4.9 are susceptible to an Insecure Deserialization vulnerability that arises from the use of the table_valeur filter and DATA iterator, which accept serialized data from user input. An attacker with access to inject malicious serialized content can trigger arbitrary object instantiation, bringing about potential code execution. This flaw poses significant risks as the use of serialized data in these areas has been deprecated and will see removal in SPIP version 5. Notably, this vulnerability is not effectively mitigated by SPIP’s existing security measures.
Quelle: securityvulnerability.io