Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden.

PHP-File-Inclusion im Backend

Datum: 12.07.2017
CVE-ID: CVE-2017-10993

Beschreibung

Ein angemeldeter Backend-Benutzer kann beliebige PHP-Dateien ausführen, indem er einen URL-Parameter manipuliert. Da Contao den Upload von PHP-Dateien standardmäßig nicht erlaubt, ist der Angriff auf die auf dem Server vorhandenen PHP-Dateien begrenzt.

Betroffene Versionen

Contao 3.* bis 3.5.27
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.0

Empfohlene Lösung

Update auf Contao 3.5.28 oder 4.4.1.

Zurück zur Übersicht.

Sicherheitsrichtlinie

Wenn du glaubst ein Si­cher­heits­pro­blem in Con­tao ge­fun­den zu ha­ben, mel­de es bit­te ge­mäß un­se­rer Si­cher­heits­richt­li­nie.