Разработчики системы управления контентом SPIP выпустили обновление 4.4.16, закрывающее несколько критических брешей в безопасности. Патч устраняет сохранённую XSS (межсайтовую перекрёстную), SQL-инъекцию в приватной зоне и раскрытие полного пути (full path disclosure). Уведомление обновления опубликовано 6 июля 2026 года, в нём отмечается, что пользователям настоятельно рекомендуется установить новую версию.
Детали уязвимостей
Найденные уязвимости затрагивают все сборки SPIP до версии 4.4.16 включительно. За обнаружение брешей ответственны исследователи Glop и JLuc, которых команда SPIP поблагодарила в своём бюллетене.
Суть проблем в следующем. Сохранённая XSS - это тип уязвимости, при которой злоумышленник через незащищённые поля ввода может внедрить вредоносный JavaScript-код, постоянно хранящийся на сервере. При последующем обращении к странице этим кодом заражаются другие пользователи. В случае SPIP атака могла бы быть реализована через определённые формы, загружающие контент. Вредоносный скрипт способен перехватывать сессионные данные, подменять элементы страницы или перенаправлять жертву на поддельные сайты.
Второй дефект - SQL-инъекция (SQLi). Он обнаружен в интерфейсе приватной зоны - панели управления сайтом, доступной администраторам. При неправильной фильтрации вводимых параметров атакующий может изменить структуру SQL-запроса, отправив специально сформированную команду. Это позволяет извлекать, модифицировать или удалять записи из базы данных. Потенциальная атака на SPIP через SQL-инъекцию могла бы привести к полной компрометации базы данных - от кражи паролей до подмены содержимого страниц.
Третья уязвимость - раскрытие полного пути (full path disclosure). Она возникает, когда сервер в ответе на ошибку или при определённых манипуляциях с URL отдаёт реальный путь к файлам на диске (например, "/var/www/spip/config/"). Эта информация сама по себе не даёт злоумышленнику прямого доступа, но служит разведывательным материалом для планирования более целенаправленных атак. В случае SPIP этот недостаток мог бы упростить атакующему поиск других уязвимых компонентов.
Важный момент, подчёркнутый разработчиками: перечисленные уязвимости не закрываются штатным экраном безопасности SPIP - встроенным механизмом, который блокирует попытки эксплуатации некоторых угроз на уровне ядра. Значит, единственный способ защиты - своевременное обновление.
SPIP - популярная система управления контентом, особенно во франкоязычном сегменте, но также применяемая на тысячах сайтов по всему миру, включая образовательные учреждения, государственные порталы и СМИ. Для таких площадок раскрытие критических уязвимостей без оперативного исправления чревато утечками персональных данных, взломом аккаунтов администраторов и распространением вредоносного ПО.
Команда разработчиков также обратила внимание на то, что в составе патча добавлено новое правило в файл ".htaccess", поставляемый как шаблон. Пользователям рекомендуется заменить существующий ".htaccess" на обновлённую версию - это снизит вероятность внедрения JavaScript через атрибуты ссылок.
Обновление до версии 4.4.16 выполняется стандартным способом - через менеджер обновлений SPIP или с помощью утилиты "spip_loader" (версия 6.2.1), доступной на официальном сайте. Для пользователей, использующих сторонние хостинги, достаточно загрузить новую версию ядра и применить изменения базы данных. Перед обновлением рекомендуется сделать резервную копию файлов и базы.
Ситуация с этим патчем - ещё одно подтверждение того, что системы управления контентом требуют постоянного внимания к обновлениям. Даже зрелые проекты, такие как SPIP, регулярно сталкиваются с угрозами разного уровня опасности. Комбинация SQL-инъекции и XSS, не защищённых штатными средствами, делает необходимость установки версии 4.4.16 приоритетной для всех владельцев сайтов на этой CMS.
Ссылки