Contao-News

Wir informieren Sie hier regelmäßig zu Updates, stellen Best-Practice-Arbeiten vor und berichten über Aktuelles aus dem Contaoversum.

Schwere Sicherheitslücke in Contao gefunden

von Leo Feyer

Zu der potentiellen PHP-Object-Injection Sicherheitslücke, die wir mit den letzten Updates auf Contao 3.2.5 bzw. 2.11.14 prophylaktisch behoben haben, ist nun leider ein Exploit aufgetaucht.

Die Sicherheitslücke kann dazu genutzt werden, beliebigen PHP-Code auf dem Server auszuführen (Arbitrary Code Execution) und ist somit als schwerwiegend einzustufen. Ein Update auf die neueste Contao-Version, entweder 3.2.5 oder 2.11.14, wird dringend empfohlen!

Wer seine Contao-Installation nicht kurzfristig aktualisieren kann, sollte unbedingt die Änderungen aus dem Commit d67c46c1 entsprechend nachvollziehen. Die Extension-Entwickler sind dringend angehalten, ihre Erweiterungen zu prüfen, dass keine Benutzereingaben an die Funktion deserialize() übergeben werden.

Zurück zur News-Übersicht.

Einen Kommentar schreiben

Kommentar von Marc Reimann |

Die CCA (Contao Community Alliance) hat Patch-Files auch für ältere Contao-Versionen veröffentlicht. Für viele sicher eine Erleichterung, um erstmal ein paar Installationen auf die Schnelle zu versorgen.

Hier der Beitrag mit den Download-Möglichkeiten: c-c-a.org/aktuelles/news/details/bugfixes-fuer-kritische-sicherheitsluecke-in-contao

Viele Grüße

Bitte rechnen Sie 2 plus 1.

Bücher und Videos