Contao-News

Wir informieren Dich hier regelmäßig zu Updates, stellen Best-Practice-Arbeiten vor und berichten über Aktuelles aus dem Contaoversum.

Contao 3.5.28 verfügbar

von Leo Feyer – Ankündigungen

Contao Version 3.5.28 ist verfügbar. Das Bugfix-Release behebt eine Arbitrary PHP File Inclusion-Schwachstelle im Backend.

CVE-2017-10993

Ein angemeldeter Backend-Benutzer kann beliebige PHP-Dateien ausführen, indem er einen URL-Parameter manipuliert. Da Contao den Upload von PHP-Dateien standardmäßig nicht erlaubt, ist der Angriff auf die auf dem Server vorhandenen PHP-Dateien begrenzt.

Das Problem betrifft Contao 3.0.0 bis 3.5.27 und Contao 4.0.0 bis 4.4.0.

Obgleich wir die Schwachstelle nicht als kritisch einstufen, empfehlen wir nachdrücklich ein Update auf Contao 3.5.28 oder Contao 4.4.1.

Siehe auch: GitHub-Tickets | GitHub-Compare View | Contao-Changelog | Release-Übersicht

Alle News anzeigen

Kommentare

Einen Kommentar schreiben

Was ist die Summe aus 8 und 9?