Contao 4.4.18 verfügbar

Contao Version 4.4.18 ist verfügbar. Das Bugfix-Release behebt eine XSS-Lücke im System-Log des Backends (CVE-2018-10125).

CVE-2018-10125

Durch einen manipulierten Request kann ein Angreifer ein Skript einschleusen, das ausgeführt wird, wenn ein angemeldeter Backend-Benutzer das System-Log aufruft. Der Angreifer muss dazu nicht selbst angemeldet sein.

Das Problem betrifft Contao 3.0.0 bis 3.5.34, 4.0.0 bis 4.4.17 sowie 4.5.0 bis 4.5.7. Ein Update wird dringend empfohlen.

Siehe auch: Core-Tickets | Versionsvergleich | Core-Changelog | Release-Übersicht