Contao-News

Wir informieren Sie hier regelmäßig zu Updates, stellen Best-Practice-Arbeiten vor und berichten über Aktuelles aus dem Contaoversum.

Sicherheitslücke CVE-2018-17057

von

Unter der Nummer CVE-2018-17057 wurde eine Sicherheitslücke in TCPDF veröffentlicht, von der auch Contao betroffen ist.

Durch eine manipulierte Bilddatei kann ein angemeldeter Backend-Benutzer beliebigen Code einschleusen, der ausgeführt wird, wenn ein Artikel im Frontend als PDF exportiert wird. Die Sicherheitslücke wurde in TCPDF 6.2.22 behoben.

In Contao 4 könnt ihr im Contao Manager die Abhängigkeiten aktualisieren, wodurch auch TCPDF in der neuesten Version installiert werden sollte. Die Contao-Versionen 4.4.25 und 4.6.4 enthalten außerdem das explizite Version-Constraint ^6.2.22 für TCPDF.

Für Contao 3.5 wurde das Problem in der Version 3.5.36 behoben.

Zurück zur News-Übersicht.

Einen Kommentar schreiben

Bitte addieren Sie 7 und 4.

Bücher und Videos