Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.

PHP-File-Inclusion durch Insert-Tags

11.08.2021 10:56 von Leo Feyer

Datum: 11.08.2021
CVE-ID: CVE-2021-37626

Nicht vertrauenswürdige Benutzer können beliebige PHP-Dateien mittels Insert-Tags laden.

Installationen sind nur betroffen, wenn es nicht vertrauenswürdige Backend-Benutzer gibt.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.55
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9 bis 4.9.17
Contao 4.10
Contao 4.11 bis 4.11.6

Empfohlene Lösung

Update auf Contao 4.4.56, 4.9.18 oder 4.11.7.

Workaround

Deaktiviere die Anmeldung für nicht vertrauenswürdige Benutzer.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-r6mv-ppjc-4hgr

Alle Sicherheitshinweise anzeigen

Sicherheitshinweise

PHP-File-Inclusion durch Insert-Tags

Archiv

Abonnieren