von Leo Feyer
Directory-Traversal im FileSelector-Widget
Datum: 17.09.2024
CVE-ID: CVE-2024-45604
Beschreibung
Backend-Benutzer können im FileSelector-Widget Dateien außerhalb ihrer Filemounts bzw. des Document-Root auflisten. Es ist jedoch nicht möglich, diese Dateien zu bearbeiten oder deren Inhalt einzusehen.
Betroffene Versionen
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.48
Empfohlene Lösung
Update auf Contao 4.13.49.
Mehr Informationen
https://github.com/contao/contao/security/advisories/GHSA-4p75-5p53-65m9
Credits
Danke an Jakob Steeg von der usd AG für die Meldung dieser Sicherheitslücke.