von Leo Feyer
Ausführung von beliebigem Code in TCPDF
Datum: 18.09.2018
CVE-ID: CVE-2018-17057
Beschreibung
Unter der Nummer CVE-2018-17057 wurde eine Sicherheitslücke in TCPDF veröffentlicht, von der auch Contao betroffen ist. Durch eine manipulierte Bilddatei kann ein angemeldeter Backend-Benutzer beliebigen Code einschleusen, der ausgeführt wird, wenn ein Artikel im Frontend als PDF exportiert wird.
Die Sicherheitslücke wurde in TCPDF 6.2.22 behoben.
Betroffene Versionen
Contao 3.* bis 3.5.35
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.34
Contao 4.5
Contao 4.6 bis 4.6.3
Empfohlene Lösung
Update auf TCPDF 6.2.22 bzw. auf Contao 3.5.36, 4.4.25 oder 4.6.4.