Sicherheitshinweise
Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.
SQL-Injection im Backend-Suchfilter und im Listingmodul
von Leo Feyer
Datum: 15.11.2017
CVE-ID: CVE-2017-16558
Beschreibung
Sowohl der Suchfilter im Backend als auch das Modul "Auflistung" im Frontend sind anfällig für SQL-Injections. Um die Lücke im Backend auszunutzen, bedarf es eines angemeldeten Benutzers; die Lücke im Frontend kann hingegen von jedermann ausgenutzt werden.
Betroffene Versionen
Contao 3.* bis 3.5.29
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.6
Empfohlene Lösung
Update auf Contao 3.5.30 oder 4.4.7.