SQL-Injection im Backend-Suchfilter und im Listingmodul

Datum: 15.11.2017
CVE-ID: CVE-2017-16558

Beschreibung

Sowohl der Suchfilter im Backend als auch das Modul "Auflistung" im Frontend sind anfällig für SQL-Injections. Um die Lücke im Backend auszunutzen, bedarf es eines angemeldeten Benutzers; die Lücke im Frontend kann hingegen von jedermann ausgenutzt werden.

Betroffene Versionen

Contao 3.* bis 3.5.29
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.6

Empfohlene Lösung

Update auf Contao 3.5.30 oder 4.4.7.