Contao-News

Wir informieren Dich hier regelmäßig zu Updates, stellen Best-Practice-Arbeiten vor und berichten über Aktuelles aus dem Contaoversum.

Contao 2.11.14 verfügbar

von Leo Feyer – Ankündigungen

Contao Version 2.11.14 ist verfügbar. Das Bugfix-Release behebt eine potentielle PHP-Object-Injection Sicherheitslücke (vielen Dank an Pedro Ribeiro).

Die Sicherheitslücke entsteht, weil POST-Daten an die Funktion deserialize() übergeben werden, wie es im Core an mehreren Stellen der Fall war. Allerdings haben wir es nicht geschafft, die Sicherheitslücke auszunutzen, wenn auf die POST-Daten über die Contao Input-Klasse zugegriffen wurde. Das bedeutet jedoch nicht, dass es nicht doch möglich ist.

Wir empfehlen allen Extension-Entwicklern, Ihren Code durchzusehen und entsprechende deserialize()-Aufrufe mit POST-Daten zu bereinigen. Allen Anwendern empfehlen wir dringend das Update auf Contao 2.11.14.

Alle News anzeigen

Kommentare

Einen Kommentar schreiben

Bitte rechnen Sie 1 plus 5.