Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden.

Datum: 17.12.2019
CVE-ID: CVE-2019-19714

Es ist möglich, Inserttags in das Login-Modul einzuschleusen, die bei der Ausgabe der Seite ersetzt werden. Das Problem betrifft Contao 4.8.4 und 4.8.5 und wurde in Contao 4.8.6 behoben.

Datum: 17.12.2019
CVE-ID: CVE-2019-19712

Backend-Benutzer können die URL der Detailansicht manipulieren, um Seiten und Artikel anzuzeigen, die nicht für sie freigegeben wurden. Das Problem betrifft alle Contao-Versionen ab Contao 4.0 und wurde in Contao 4.4.46 und 4.8.6 behoben.

Datum: 17.12.2019
CVE-ID: CVE-2019-19745

Ein Backend-Benutzer mit Zugriff auf den Formulargenerator kann beliebige Dateien auf den Server laden und ausführen. Das Problem betrifft alle Contao-Versionen ab Contao 4.0 und wurde in Contao 4.4.46 und 4.8.6 behoben.

Datum: 30.04.2019
CVE-ID: CVE-2019-11512

Die Suchfunktion des Dateimanagers ist anfällig für SQL-Injections. Das Problem betrifft alle Contao-Versionen ab Contao 4.1 und wurde in Contao 4.4.39 und 4.7.5 behoben.

Datum: 09.04.2019
CVE-ID: CVE-2019-10643

Bei der Bestätigung eines Opt-In-Tokens werden vorherige Opt-In-Tokens nicht invalidiert. Das Problem betrifft Contao 4.7 und wurde in Contao 4.7.3 behoben.

Datum: 09.04.2019
CVE-ID: CVE-2019-10642

Die Request-Token-Prüfung kann umgangen werden. Das Problem betrifft Contao 4.7 und wurde in Contao 4.7.3 behoben.

Datum: 09.04.2019
CVE-ID: CVE-2019-10641

Benutzer-Sessions werden nicht invalidiert, wenn ein Benutzer sein Passwort ändert. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.39, 4.4.37 und 4.7.3 behoben.

Datum: 13.12.2018
CVE-ID: CVE-2018-20028

Angemeldete Backend-Benutzer können Datensätze einsehen, die nicht für sie freigegeben wurden. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.37, 4.4.31 und 4.6.11 behoben.

Datum: 18.09.2018
CVE-ID: CVE-2018-17057

Eine Sicherheitslücke in TCPDF erlaubt die Ausführung von beliebigem Code. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.36, 4.4.25 und 4.6.4 behoben.

Datum: 18.04.2018
CVE-ID: CVE-2018-10125

Das System-Log im Backend ist anfällig für Cross-Site-Scripting. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.34, 4.4.17 und 4.5.7 behoben.

Sicherheitsrichtlinie

Wenn du glaubst ein Si­cher­heits­pro­blem in Con­tao ge­fun­den zu ha­ben, mel­de es bit­te ge­mäß un­se­rer Si­cher­heits­richt­li­nie.