Anzeige nicht freigegebener Datensätze im Backend

Datum: 13.12.2018
CVE-ID: CVE-2018-20028

Beschreibung

Die Sicherheitslücke ermöglicht es angemeldeten Backend-Benutzern, für sie nicht freigegebene Datensätze einzusehen. Sie kann auf zwei verschiedene Arten ausgenutzt werden:

1. Nutzt ein Backend-Benutzer ohne Pagemounts das Filter-Menü in der Seitenstruktur, werden ihm alle zu dem Filter passenden Seiten angezeigt, obwohl diese nicht für ihn freigegeben wurden.

2. Durch Manipulation der URL kann ein Backend-Benutzer im Parent-View auf Datensätze zugreifen, die nicht für ihn freigegeben wurden – also z.B. Artikel eines anderen Benutzers oder News eines fremden Archivs einsehen. Die Veränderung der Datensätze ist jedoch nicht möglich.

Betroffene Versionen

Contao 3.* bis 3.5.36
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.31
Contao 4.5
Contao 4.6 bis 4.6.10

Empfohlene Lösung

Update auf Contao 3.5.37, 4.4.31 oder 4.6.11.