Contao-News

Wir informieren Sie hier regelmäßig zu Updates, stellen Best-Practice-Arbeiten vor und berichten über Aktuelles aus dem Contaoversum.

Contao 2.11.14 verfügbar

von

Contao Version 2.11.14 ist verfügbar. Das Bugfix-Release behebt eine potentielle PHP-Object-Injection Sicherheitslücke (vielen Dank an Pedro Ribeiro).

Die Sicherheitslücke entsteht, weil POST-Daten an die Funktion deserialize() übergeben werden, wie es im Core an mehreren Stellen der Fall war. Allerdings haben wir es nicht geschafft, die Sicherheitslücke auszunutzen, wenn auf die POST-Daten über die Contao Input-Klasse zugegriffen wurde. Das bedeutet jedoch nicht, dass es nicht doch möglich ist.

Wir empfehlen allen Extension-Entwicklern, Ihren Code durchzusehen und entsprechende deserialize()-Aufrufe mit POST-Daten zu bereinigen. Allen Anwendern empfehlen wir dringend das Update auf Contao 2.11.14.

Zurück zur News-Übersicht.

Einen Kommentar schreiben

Bitte rechnen Sie 5 plus 1.

Bücher und Videos