Sicherheitshinweise
Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.
PHP-File-Inclusion im Backend
von Leo Feyer
Datum: 12.07.2017
CVE-ID: CVE-2017-10993
Beschreibung
Ein angemeldeter Backend-Benutzer kann beliebige PHP-Dateien ausführen, indem er einen URL-Parameter manipuliert. Da Contao den Upload von PHP-Dateien standardmäßig nicht erlaubt, ist der Angriff auf die auf dem Server vorhandenen PHP-Dateien begrenzt.
Betroffene Versionen
Contao 3.* bis 3.5.27
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.0
Empfohlene Lösung
Update auf Contao 3.5.28 oder 4.4.1.