Contao-News

Wir informieren Dich hier regelmäßig zu Updates, stellen Best-Practice-Arbeiten vor und berichten über Aktuelles aus dem Contaoversum.

Contao 3.2.5 verfügbar

von Leo Feyer – Ankündigungen

Contao Version 3.2.5 ist verfügbar. Das Bugfix-Release behebt eine potentielle PHP-Object-Injection Sicherheitslücke (vielen Dank an Pedro Ribeiro).

Die Sicherheitslücke entsteht, weil POST-Daten an die Funktion deserialize() übergeben werden, wie es im Core an mehreren Stellen der Fall war. Allerdings haben wir es nicht geschafft, die Sicherheitslücke auszunutzen, wenn auf die POST-Daten über die Contao Input-Klasse zugegriffen wurde. Das bedeutet jedoch nicht, dass es nicht doch möglich ist.

Wir empfehlen allen Extension-Entwicklern, Ihren Code durchzusehen und entsprechende deserialize()-Aufrufe mit POST-Daten zu bereinigen. Allen Anwendern empfehlen wir dringend das Update auf Contao 3.2.5.

Siehe auch: GitHub-Tickets | GitHub-Compare View | Contao-Changelog | Release-Übersicht

Alle News anzeigen

Kommentare

Einen Kommentar schreiben

Bitte rechnen Sie 7 plus 6.