Sicherheitshinweise
Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.
Ausführung von beliebigem Code in TCPDF
von Leo Feyer
Datum: 18.09.2018
CVE-ID: CVE-2018-17057
Beschreibung
Unter der Nummer CVE-2018-17057 wurde eine Sicherheitslücke in TCPDF veröffentlicht, von der auch Contao betroffen ist. Durch eine manipulierte Bilddatei kann ein angemeldeter Backend-Benutzer beliebigen Code einschleusen, der ausgeführt wird, wenn ein Artikel im Frontend als PDF exportiert wird.
Die Sicherheitslücke wurde in TCPDF 6.2.22 behoben.
Betroffene Versionen
Contao 3.* bis 3.5.35
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.34
Contao 4.5
Contao 4.6 bis 4.6.3
Empfohlene Lösung
Update auf TCPDF 6.2.22 bzw. auf Contao 3.5.36, 4.4.25 oder 4.6.4.