Directory-Traversal im Backend

Datum: 12.02.2015
CVE-ID: CVE-2015-0269

Beschreibung

Arnaud Buchoux von Orange Consulting hat eine Directory-Traversal-Sicherheitslücke entdeckt, die es angemeldeten Backend-Benutzern ermöglicht, Dateien außerhalb ihrer Filemounts bzw. des Document-Root aufzulisten. Es ist jedoch nicht möglich, diese Dateien zu bearbeiten oder deren Inhalt einzusehen.

Betroffene Versionen

Contao 3.* bis 3.4.3

Empfohlene Lösung

Update auf Contao 3.4.4.