Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.

Anzeige nicht freigegebener Datensätze im Backend

von Leo Feyer

Datum: 13.12.2018
CVE-ID: CVE-2018-20028

Beschreibung

Die Sicherheitslücke ermöglicht es angemeldeten Backend-Benutzern, für sie nicht freigegebene Datensätze einzusehen. Sie kann auf zwei verschiedene Arten ausgenutzt werden:

1. Nutzt ein Backend-Benutzer ohne Pagemounts das Filter-Menü in der Seitenstruktur, werden ihm alle zu dem Filter passenden Seiten angezeigt, obwohl diese nicht für ihn freigegeben wurden.

2. Durch Manipulation der URL kann ein Backend-Benutzer im Parent-View auf Datensätze zugreifen, die nicht für ihn freigegeben wurden – also z.B. Artikel eines anderen Benutzers oder News eines fremden Archivs einsehen. Die Veränderung der Datensätze ist jedoch nicht möglich.

Betroffene Versionen

Contao 3.* bis 3.5.36
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.31
Contao 4.5
Contao 4.6 bis 4.6.10

Empfohlene Lösung

Update auf Contao 3.5.37, 4.4.31 oder 4.6.11.

Alle Sicherheitshinweise anzeigen

Abonnieren