von Leo Feyer
PHP-File-Inclusion durch Insert-Tags
Datum: 11.08.2021
CVE-ID: CVE-2021-37626
Nicht vertrauenswürdige Benutzer können beliebige PHP-Dateien mittels Insert-Tags laden.
Installationen sind nur betroffen, wenn es nicht vertrauenswürdige Backend-Benutzer gibt.
Betroffene Versionen
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.55
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9 bis 4.9.17
Contao 4.10
Contao 4.11 bis 4.11.6
Empfohlene Lösung
Update auf Contao 4.4.56, 4.9.18 oder 4.11.7.
Workaround
Deaktiviere die Anmeldung für nicht vertrauenswürdige Benutzer.
Mehr Informationen
https://github.com/contao/contao/security/advisories/GHSA-r6mv-ppjc-4hgr