Sicherheitshinweise
Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.
Anzeige nicht freigegebener Datensätze im Backend
von Leo Feyer
Datum: 13.12.2018
CVE-ID: CVE-2018-20028
Beschreibung
Die Sicherheitslücke ermöglicht es angemeldeten Backend-Benutzern, für sie nicht freigegebene Datensätze einzusehen. Sie kann auf zwei verschiedene Arten ausgenutzt werden:
1. Nutzt ein Backend-Benutzer ohne Pagemounts das Filter-Menü in der Seitenstruktur, werden ihm alle zu dem Filter passenden Seiten angezeigt, obwohl diese nicht für ihn freigegeben wurden.
2. Durch Manipulation der URL kann ein Backend-Benutzer im Parent-View auf Datensätze zugreifen, die nicht für ihn freigegeben wurden – also z.B. Artikel eines anderen Benutzers oder News eines fremden Archivs einsehen. Die Veränderung der Datensätze ist jedoch nicht möglich.
Betroffene Versionen
Contao 3.* bis 3.5.36
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.31
Contao 4.5
Contao 4.6 bis 4.6.10
Empfohlene Lösung
Update auf Contao 3.5.37, 4.4.31 oder 4.6.11.