Sicherheitshinweise
Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.
Directory-Traversal im Backend
von Leo Feyer
Datum: 12.02.2015
CVE-ID: CVE-2015-0269
Beschreibung
Arnaud Buchoux von Orange Consulting hat eine Directory-Traversal-Sicherheitslücke entdeckt, die es angemeldeten Backend-Benutzern ermöglicht, Dateien außerhalb ihrer Filemounts bzw. des Document-Root aufzulisten. Es ist jedoch nicht möglich, diese Dateien zu bearbeiten oder deren Inhalt einzusehen.
Betroffene Versionen
Contao 3.* bis 3.4.3
Empfohlene Lösung
Update auf Contao 3.4.4.