Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.

Datum: 17.12.2019
CVE-ID: CVE-2019-19714

Es ist möglich, Inserttags in das Login-Modul einzuschleusen, die bei der Ausgabe der Seite ersetzt werden. Das Problem betrifft Contao 4.8.4 und 4.8.5 und wurde in Contao 4.8.6 behoben.

Datum: 17.12.2019
CVE-ID: CVE-2019-19712

Backend-Benutzer können die URL der Detailansicht manipulieren, um Seiten und Artikel anzuzeigen, die nicht für sie freigegeben wurden. Das Problem betrifft alle Contao-Versionen ab Contao 4.0 und wurde in Contao 4.4.46 und 4.8.6 behoben.

Datum: 17.12.2019
CVE-ID: CVE-2019-19745

Ein Backend-Benutzer mit Zugriff auf den Formulargenerator kann beliebige Dateien auf den Server laden und ausführen. Das Problem betrifft alle Contao-Versionen ab Contao 4.0 und wurde in Contao 4.4.46 und 4.8.6 behoben.

Datum: 30.04.2019
CVE-ID: CVE-2019-11512

Die Suchfunktion des Dateimanagers ist anfällig für SQL-Injections. Das Problem betrifft alle Contao-Versionen ab Contao 4.1 und wurde in Contao 4.4.39 und 4.7.5 behoben.

Datum: 09.04.2019
CVE-ID: CVE-2019-10643

Bei der Bestätigung eines Opt-In-Tokens werden vorherige Opt-In-Tokens nicht invalidiert. Das Problem betrifft Contao 4.7 und wurde in Contao 4.7.3 behoben.

Datum: 09.04.2019
CVE-ID: CVE-2019-10642

Die Request-Token-Prüfung kann umgangen werden. Das Problem betrifft Contao 4.7 und wurde in Contao 4.7.3 behoben.

Datum: 09.04.2019
CVE-ID: CVE-2019-10641

Benutzer-Sessions werden nicht invalidiert, wenn ein Benutzer sein Passwort ändert. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.39, 4.4.37 und 4.7.3 behoben.

Datum: 13.12.2018
CVE-ID: CVE-2018-20028

Angemeldete Backend-Benutzer können Datensätze einsehen, die nicht für sie freigegeben wurden. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.37, 4.4.31 und 4.6.11 behoben.

Datum: 18.09.2018
CVE-ID: CVE-2018-17057

Eine Sicherheitslücke in TCPDF erlaubt die Ausführung von beliebigem Code. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.36, 4.4.25 und 4.6.4 behoben.

Datum: 18.04.2018
CVE-ID: CVE-2018-10125

Das System-Log im Backend ist anfällig für Cross-Site-Scripting. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.34, 4.4.17 und 4.5.7 behoben.