Contao 3.5.31 verfügbar

Contao Version 3.5.31 ist verfügbar. Das Bugfix-Release behebt eine SQL-Injection-Schwachstelle im Backend sowie in der Listing-Erweiterung.

CVE-2017-16558

Die Schwachstelle befindet sich sowohl im Suchfilter im Backend als auch im Modul "Auflisting" im Frontend. Um die Lücke im Backend auszunutzen, bedarf es eines angemeldeten Benutzers; die Lücke im Frontend kann hingegen von jedermann ausgenutzt werden.

Das Problem betrifft Contao 3.0.0 bis 3.5.30 und Contao 4.0.0 bis 4.4.7.

Das Update wird dringend empfohlen, insbesondere wenn die Listing-Erweiterung verwendet wird.

Siehe auch: Tickets | Versionsvergleich | Changelog | Release-Übersicht