Sicherheitshinweise
Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.
PHP-File-Inclusion durch Insert-Tags
von Leo Feyer
Datum: 11.08.2021
CVE-ID: CVE-2021-37626
Nicht vertrauenswürdige Benutzer können beliebige PHP-Dateien mittels Insert-Tags laden.
Installationen sind nur betroffen, wenn es nicht vertrauenswürdige Backend-Benutzer gibt.
Betroffene Versionen
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.55
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9 bis 4.9.17
Contao 4.10
Contao 4.11 bis 4.11.6
Empfohlene Lösung
Update auf Contao 4.4.56, 4.9.18 oder 4.11.7.
Workaround
Deaktiviere die Anmeldung für nicht vertrauenswürdige Benutzer.
Mehr Informationen
https://github.com/contao/contao/security/advisories/GHSA-r6mv-ppjc-4hgr