Contao-News

Wir informieren Sie hier regelmäßig zu Updates, stellen Best-Practice-Arbeiten vor und berichten über Aktuelles aus dem Contaoversum.

Sicherheitslücke CVE-2018-20028

von

Unter der Nummer CVE-2018-20028 wurde eine Sicherheitslücke in Contao veröffentlicht, die es angemeldeten Backend-Benutzern ermöglicht, für sie nicht freigegebene Datensätze einzusehen. Die Sicherheitslücke kann auf zwei verschiedene Arten ausgenutzt werden:

1. Nutzt ein Backend-Benutzer ohne Pagemounts das Filter-Menü in der Seitenstruktur, werden ihm alle zu dem Filter passenden Seiten angezeigt, obwohl diese nicht für ihn freigegeben wurden.

2. Durch Manipulation der URL kann ein Backend-Benutzer im Parent-View auf Datensätze zugreifen, die nicht für ihn freigegeben wurden – also z.B. Artikel eines anderen Benutzers oder News eines fremden Archivs einsehen. Die Veränderung der Datensätze ist jedoch nicht möglich.

Das Problem wurde in Contao 3.5.37, Contao 4.4.31 und Contao 4.6.11 behoben.

Zurück zur News-Übersicht.

Einen Kommentar schreiben

Bitte rechnen Sie 4 plus 8.

Bücher und Videos