Contao 3.5.15 verfügbar

Contao Version 3.5.15 ist verfügbar. Das Bugfix-Release schließt eine XSS-Sicherheitslücke im Plugin mediaelement.js.

CVE-2016-4567

Unter der ID CVE-2016-4567 wurde eine Sicherheitslücke in der Software mediaelement.js gemeldet, die es in Chrome erlaubt, beliebige Javascript-Kommandos auszuführen. Mittels eines XSS-Angriffes kann diese Sicherheitslücke ausgenutzt werden, daher wird ein Update auf Contao 3.5.15 empfohlen.

Sollte ein Update nicht möglich sein, sollte zumindest das Plugin mediaelement.js, das sich im Ordner assets/jquery/mediaelement befindet, aktualisiert werden. Die Sicherheitslücke wurde in Version 2.21.1 geschlossen.

Siehe auch: GitHub-Tickets | GitHub-Compare View | Contao-Changelog | Release-Übersicht