Contao-News
Wir informieren Dich hier regelmäßig zu Updates, stellen Best-Practice-Arbeiten vor und berichten über Aktuelles aus dem Contaoversum.
Contao 3.5.28 verfügbar
von Leo Feyer – Ankündigungen
Contao Version 3.5.28 ist verfügbar. Das Bugfix-Release behebt eine Arbitrary PHP File Inclusion-Schwachstelle im Backend.
CVE-2017-10993
Ein angemeldeter Backend-Benutzer kann beliebige PHP-Dateien ausführen, indem er einen URL-Parameter manipuliert. Da Contao den Upload von PHP-Dateien standardmäßig nicht erlaubt, ist der Angriff auf die auf dem Server vorhandenen PHP-Dateien begrenzt.
Das Problem betrifft Contao 3.0.0 bis 3.5.27 und Contao 4.0.0 bis 4.4.0.
Obgleich wir die Schwachstelle nicht als kritisch einstufen, empfehlen wir nachdrücklich ein Update auf Contao 3.5.28 oder Contao 4.4.1.
Siehe auch: GitHub-Tickets | GitHub-Compare View | Contao-Changelog | Release-Übersicht
Kommentare
Einen Kommentar schreiben