Sicherheitshinweise
Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.
Directory-Traversal in der Dateiverwaltung
von Leo Feyer
Datum: 25.04.2023
CVE-ID: CVE-2023-29200
Im Backend angemeldete Benutzer können in der Dateiverwaltung Dateien außerhalb des Document-Root auflisten. Es ist jedoch nicht möglich, den Inhalt dieser Dateien zu lesen.
Danke an Daniel Barros für das Melden des Problems.
Betroffene Versionen
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9 bis 4.9.39
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.20
Contao 5.0
Contao 5.1 bis 5.1.3
Empfohlene Lösung
Update auf Contao 4.9.40, 4.13.21 oder 5.1.4.
Mehr Informationen
https://github.com/contao/contao/security/advisories/GHSA-fp7q-xhhw-6rj3