Session-Invalidierung bei Passwortänderung

Datum: 09.04.2019
CVE-ID: CVE-2019-10641

Beschreibung

Der Sicherheitsforscher Ali Razzaq hat festgestellt, dass bestehende Sitzungen in Contao nicht korrekt invalidiert werden, wenn ein Benutzer sein Passwort im Backend oder Frontend ändert.

Betroffene Versionen

Contao 3.* bis 3.5.38
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.36
Contao 4.5
Contao 4.6
Contao 4.7 bis 4.7.2

Empfohlene Lösung

Update auf Contao 3.5.39, 4.4.37 oder 4.7.3.