von Leo Feyer
Remote-Befehlsausführung durch Dateiuploads
Datum: 17.09.2024
CVE-ID: CVE-2024-45398
Backend-Benutzer mit Zugriff auf den Dateimanager können bösartige Dateien hochladen und auf dem Server ausführen.
Betroffene Versionen
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.48
Contao 5.0
Contao 5.1
Contao 5.2
Contao 5.3 bis 5.3.14
Contao 5.4 bis 5.4.2
Empfohlene Lösung
Update auf Contao 4.13.49, 5.3.15 oder 5.4.3.
Workaround
Konfiguriere den Webserver so, dass er keine PHP-Dateien und andere Skripte im Contao Upload-Verzeichnis ausführt.
Mehr Informationen
https://github.com/contao/contao/security/advisories/GHSA-vm6r-j788-hjh5
Credits
Danke an Jakob Steeg von der usd AG für die Meldung dieser Sicherheitslücke.