Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden.

Datum: 30.04.2019
CVE-ID: CVE-2019-11512

Die Suchfunktion des Dateimanagers ist anfällig für SQL-Injections. Das Problem betrifft alle Contao-Versionen ab Contao 4.1 und wurde in Contao 4.4.39 und 4.7.5 behoben.

Datum: 09.04.2019
CVE-ID: CVE-2019-10643

Bei der Bestätigung eines Opt-In-Tokens werden vorherige Opt-In-Tokens nicht invalidiert. Das Problem betrifft Contao 4.7 und wurde in Contao 4.7.3 behoben.

Datum: 09.04.2019
CVE-ID: CVE-2019-10642

Die Request-Token-Prüfung kann umgangen werden. Das Problem betrifft Contao 4.7 und wurde in Contao 4.7.3 behoben.

Datum: 09.04.2019
CVE-ID: CVE-2019-10641

Benutzer-Sessions werden nicht invalidiert, wenn ein Benutzer sein Passwort ändert. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.39, 4.4.37 und 4.7.3 behoben.

Datum: 13.12.2018
CVE-ID: CVE-2018-20028

Angemeldete Backend-Benutzer können Datensätze einsehen, die nicht für sie freigegeben wurden. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.37, 4.4.31 und 4.6.11 behoben.

Datum: 18.09.2018
CVE-ID: CVE-2018-17057

Eine Sicherheitslücke in TCPDF erlaubt die Ausführung von beliebigem Code. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.36, 4.4.25 und 4.6.4 behoben.

Datum: 18.04.2018
CVE-ID: CVE-2018-10125

Das System-Log im Backend ist anfällig für Cross-Site-Scripting. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.34, 4.4.17 und 4.5.7 behoben.

Datum: 15.11.2017
CVE-ID: CVE-2017-16558

Der Backend-Suchfilter sowie das Listingmodul sind anfällig für SQL-Injections. Das Problem betrifft alle Contao-Versionen ab Contao 4.0 und wurde in Contao 4.4.8 behoben.

Datum: 12.07.2017
CVE-ID: CVE-2017-10993

Ein angemeldeter Backend-Benutzer kann beliebige existierende PHP-Dateien ausführen. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.27 und 4.4.0 behoben.

Datum: 26.11.2015
CVE-ID: CVE-2018-5478

Das Newslettermodul "Kündigen" ist anfällig für SQL-Injections. Das Problem betrifft alle Contao-Versionen ab Contao 4.0 und wurde in Contao 4.1.0 behoben.

Sicherheitsrichtlinie

Wenn du glaubst ein Si­cher­heits­pro­blem in Con­tao ge­fun­den zu ha­ben, mel­de es bit­te ge­mäß un­se­rer Si­cher­heits­richt­li­nie.