PHP-File-Inclusion im Backend

Datum: 12.07.2017
CVE-ID: CVE-2017-10993

Beschreibung

Ein angemeldeter Backend-Benutzer kann beliebige PHP-Dateien ausführen, indem er einen URL-Parameter manipuliert. Da Contao den Upload von PHP-Dateien standardmäßig nicht erlaubt, ist der Angriff auf die auf dem Server vorhandenen PHP-Dateien begrenzt.

Betroffene Versionen

Contao 3.* bis 3.5.27
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.0

Empfohlene Lösung

Update auf Contao 3.5.28 oder 4.4.1.