PHP-File-Inclusion durch Insert-Tags

Datum: 11.08.2021
CVE-ID: CVE-2021-37626

Nicht vertrauenswürdige Benutzer können beliebige PHP-Dateien mittels Insert-Tags laden.

Installationen sind nur betroffen, wenn es nicht vertrauenswürdige Backend-Benutzer gibt.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.55
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9 bis 4.9.17
Contao 4.10
Contao 4.11 bis 4.11.6

Empfohlene Lösung

Update auf Contao 4.4.56, 4.9.18 oder 4.11.7.

Workaround

Deaktiviere die Anmeldung für nicht vertrauenswürdige Benutzer.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-r6mv-ppjc-4hgr