Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.

Remote-Befehlsausführung durch Dateiuploads

von Leo Feyer

Datum: 17.09.2024
CVE-ID: CVE-2024-45398

Backend-Benutzer mit Zugriff auf den Dateimanager können bösartige Dateien hochladen und auf dem Server ausführen.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.48
Contao 5.0
Contao 5.1
Contao 5.2
Contao 5.3 bis 5.3.14
Contao 5.4 bis 5.4.2

Empfohlene Lösung

Update auf Contao 4.13.49, 5.3.15 oder 5.4.3.

Workaround

Konfiguriere den Webserver so, dass er keine PHP-Dateien und andere Skripte im Contao Upload-Verzeichnis ausführt.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-vm6r-j788-hjh5

Credits

Danke an Jakob Steeg von der usd AG für die Meldung dieser Sicherheitslücke.

Alle Sicherheitshinweise anzeigen

Abonnieren