Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden.

SQL-Injection im Backend-Suchfilter und im Listingmodul

Datum: 15.11.2017
CVE-ID: CVE-2017-16558

Beschreibung

Sowohl der Suchfilter im Backend als auch das Modul "Auflistung" im Frontend sind anfällig für SQL-Injections. Um die Lücke im Backend auszunutzen, bedarf es eines angemeldeten Benutzers; die Lücke im Frontend kann hingegen von jedermann ausgenutzt werden.

Betroffene Versionen

Contao 3.* bis 3.5.29
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.6

Empfohlene Lösung

Update auf Contao 3.5.30 oder 4.4.7.

Zurück zur Übersicht.

Sicherheitsrichtlinie

Wenn du glaubst ein Si­cher­heits­pro­blem in Con­tao ge­fun­den zu ha­ben, mel­de es bit­te ge­mäß un­se­rer Si­cher­heits­richt­li­nie.