Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden.

Ausführung von beliebigem Code in TCPDF

Datum: 18.09.2018
CVE-ID: CVE-2018-17057

Beschreibung

Unter der Nummer CVE-2018-17057 wurde eine Sicherheitslücke in TCPDF veröffentlicht, von der auch Contao betroffen ist. Durch eine manipulierte Bilddatei kann ein angemeldeter Backend-Benutzer beliebigen Code einschleusen, der ausgeführt wird, wenn ein Artikel im Frontend als PDF exportiert wird.

Die Sicherheitslücke wurde in TCPDF 6.2.22 behoben.

Betroffene Versionen

Contao 3.* bis 3.5.35
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.34
Contao 4.5
Contao 4.6 bis 4.6.3

Empfohlene Lösung

Update auf TCPDF 6.2.22 bzw. auf Contao 3.5.36, 4.4.25 oder 4.6.4.

Zurück zur Übersicht.

Sicherheitsrichtlinie

Wenn du glaubst ein Si­cher­heits­pro­blem in Con­tao ge­fun­den zu ha­ben, mel­de es bit­te ge­mäß un­se­rer Si­cher­heits­richt­li­nie.