Contao-News
Wir informieren Dich hier regelmäßig zu Updates, stellen Best-Practice-Arbeiten vor und berichten über Aktuelles aus dem Contaoversum.
Contao 2.11.14 verfügbar
von Leo Feyer – Ankündigungen
Contao Version 2.11.14 ist verfügbar. Das Bugfix-Release behebt eine potentielle PHP-Object-Injection Sicherheitslücke (vielen Dank an Pedro Ribeiro).
Die Sicherheitslücke entsteht, weil POST-Daten an die Funktion deserialize()
übergeben werden, wie es im Core an mehreren Stellen der Fall war. Allerdings haben wir es nicht geschafft, die Sicherheitslücke auszunutzen, wenn auf die POST-Daten über die Contao Input
-Klasse zugegriffen wurde. Das bedeutet jedoch nicht, dass es nicht doch möglich ist.
Wir empfehlen allen Extension-Entwicklern, Ihren Code durchzusehen und entsprechende deserialize()
-Aufrufe mit POST-Daten zu bereinigen. Allen Anwendern empfehlen wir dringend das Update auf Contao 2.11.14.
Siehe auch: GitHub-Compare View | Contao-Changelog | Release-Übersicht
Kommentare
Einen Kommentar schreiben