Contao 3.5.36 verfügbar

Contao Version 3.5.36 ist verfügbar. Das Bugfix-Release behebt eine Code-Execution-Lücke bei der Generierung von PDFs (CVE-2018-17057).

CVE-2018-17057

Durch eine manipulierte Bilddatei kann ein angemeldeter Backend-Benutzer beliebigen Code einschleusen, der ausgeführt wird, wenn ein Artikel im Frontend als PDF exportiert wird. Die Sicherheitslücke befindet sich in der externen Library TCPDF und wurde in TCPDF 6.2.22 behoben.

Siehe auch: Tickets | Versionsvergleich | Changelog | Release-Übersicht