von Leo Feyer
Uneingeschränkte Datei-Uploads
Datum: 17.12.2019
CVE-ID: CVE-2019-19745
Beschreibung
Ein Backend-Benutzer mit Zugriff auf den Formulargenerator kann beliebige Dateien auf den Server laden und ausführen.
Betroffene Versionen
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.45
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8 bis 4.8.5
Empfohlene Lösung
Update auf Contao 4.4.46 oder 4.8.6.
Workaround
Konfiguriere Deinen Webserver so, dass keinen PHP-Dateien und andere Skripte im Contao Upload-Verzeichnis ausgeführt werden.