Directory-Traversal in der Dateiverwaltung

Datum: 25.04.2023
CVE-ID: CVE-2023-29200

Im Backend angemeldete Benutzer können in der Dateiverwaltung Dateien außerhalb des Document-Root auflisten. Es ist jedoch nicht möglich, den Inhalt dieser Dateien zu lesen.

Danke an Daniel Barros für das Melden des Problems.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9 bis 4.9.39
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.20
Contao 5.0
Contao 5.1 bis 5.1.3

Empfohlene Lösung

Update auf Contao 4.9.40, 4.13.21 oder 5.1.4.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-fp7q-xhhw-6rj3