Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden.

Datum: 18.01.2018
CVE-ID: CVE-2018-5478

Das Newslettermodul "Kündigen" ist anfällig für SQL-Injections. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.32 behoben.

Datum: 15.11.2017
CVE-ID: CVE-2017-16558

Der Backend-Suchfilter sowie das Listingmodul sind anfällig für SQL-Injections. Das Problem betrifft alle Contao-Versionen ab Contao 4.0 und wurde in Contao 4.4.8 behoben.

Datum: 12.07.2017
CVE-ID: CVE-2017-10993

Ein angemeldeter Backend-Benutzer kann beliebige existierende PHP-Dateien ausführen. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.27 und 4.4.0 behoben.

Datum: 12.02.2015
CVE-ID: CVE-2015-0269

Backend-Benutzer können Dateien außerhalb ihrer Filemounts bzw. des Document-Root auflisten. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.4.4 behoben.

Sicherheitsrichtlinie

Wenn du glaubst ein Si­cher­heits­pro­blem in Con­tao ge­fun­den zu ha­ben, mel­de es bit­te ge­mäß un­se­rer Si­cher­heits­richt­li­nie.