Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden.

Anzeige nicht freigegebener Datensätze im Backend

Datum: 13.12.2018
CVE-ID: CVE-2018-20028

Beschreibung

Die Sicherheitslücke ermöglicht es angemeldeten Backend-Benutzern, für sie nicht freigegebene Datensätze einzusehen. Sie kann auf zwei verschiedene Arten ausgenutzt werden:

1. Nutzt ein Backend-Benutzer ohne Pagemounts das Filter-Menü in der Seitenstruktur, werden ihm alle zu dem Filter passenden Seiten angezeigt, obwohl diese nicht für ihn freigegeben wurden.

2. Durch Manipulation der URL kann ein Backend-Benutzer im Parent-View auf Datensätze zugreifen, die nicht für ihn freigegeben wurden – also z.B. Artikel eines anderen Benutzers oder News eines fremden Archivs einsehen. Die Veränderung der Datensätze ist jedoch nicht möglich.

Betroffene Versionen

Contao 3.* bis 3.5.36
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.31
Contao 4.5
Contao 4.6 bis 4.6.10

Empfohlene Lösung

Update auf Contao 3.5.37, 4.4.31 oder 4.6.11.

Zurück zur Übersicht.

Sicherheitsrichtlinie

Wenn du glaubst ein Si­cher­heits­pro­blem in Con­tao ge­fun­den zu ha­ben, mel­de es bit­te ge­mäß un­se­rer Si­cher­heits­richt­li­nie.