Sicherheitshinweise
Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.
Remote-Befehlsausführung durch Dateiuploads
von Leo Feyer
Datum: 17.09.2024
CVE-ID: CVE-2024-45398
Backend-Benutzer mit Zugriff auf den Dateimanager können bösartige Dateien hochladen und auf dem Server ausführen.
Betroffene Versionen
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.48
Contao 5.0
Contao 5.1
Contao 5.2
Contao 5.3 bis 5.3.14
Contao 5.4 bis 5.4.2
Empfohlene Lösung
Update auf Contao 4.13.49, 5.3.15 oder 5.4.3.
Workaround
Konfiguriere den Webserver so, dass er keine PHP-Dateien und andere Skripte im Contao Upload-Verzeichnis ausführt.
Mehr Informationen
https://github.com/contao/contao/security/advisories/GHSA-vm6r-j788-hjh5
Credits
Danke an Jakob Steeg von der usd AG für die Meldung dieser Sicherheitslücke.