von Leo Feyer

Remote-Befehlsausführung durch Dateiuploads

Datum: 17.09.2024
CVE-ID: CVE-2024-45398

Backend-Benutzer mit Zugriff auf den Dateimanager können bösartige Dateien hochladen und auf dem Server ausführen.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.48
Contao 5.0
Contao 5.1
Contao 5.2
Contao 5.3 bis 5.3.14
Contao 5.4 bis 5.4.2

Empfohlene Lösung

Update auf Contao 4.13.49, 5.3.15 oder 5.4.3.

Workaround

Konfiguriere den Webserver so, dass er keine PHP-Dateien und andere Skripte im Contao Upload-Verzeichnis ausführt.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-vm6r-j788-hjh5

Credits

Danke an Jakob Steeg von der usd AG für die Meldung dieser Sicherheitslücke.