Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.

PHP-File-Inclusion im Backend

Datum: 12.07.2017
CVE-ID: CVE-2017-10993

Beschreibung

Ein angemeldeter Backend-Benutzer kann beliebige PHP-Dateien ausführen, indem er einen URL-Parameter manipuliert. Da Contao den Upload von PHP-Dateien standardmäßig nicht erlaubt, ist der Angriff auf die auf dem Server vorhandenen PHP-Dateien begrenzt.

Betroffene Versionen

Contao 3.* bis 3.5.27
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.0

Empfohlene Lösung

Update auf Contao 3.5.28 oder 4.4.1.

Zurück zur Übersicht.