Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.

PHP-File-Inclusion durch Insert-Tags

von Leo Feyer

Datum: 11.08.2021
CVE-ID: CVE-2021-37626

Nicht vertrauenswürdige Benutzer können beliebige PHP-Dateien mittels Insert-Tags laden.

Installationen sind nur betroffen, wenn es nicht vertrauenswürdige Backend-Benutzer gibt.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.55
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9 bis 4.9.17
Contao 4.10
Contao 4.11 bis 4.11.6

Empfohlene Lösung

Update auf Contao 4.4.56, 4.9.18 oder 4.11.7.

Workaround

Deaktiviere die Anmeldung für nicht vertrauenswürdige Benutzer.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-r6mv-ppjc-4hgr

Alle Sicherheitshinweise anzeigen

Abonnieren