Sicherheitshinweise
Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.
Uneingeschränkte Datei-Uploads
von Leo Feyer
Datum: 17.12.2019
CVE-ID: CVE-2019-19745
Beschreibung
Ein Backend-Benutzer mit Zugriff auf den Formulargenerator kann beliebige Dateien auf den Server laden und ausführen.
Betroffene Versionen
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.45
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8 bis 4.8.5
Empfohlene Lösung
Update auf Contao 4.4.46 oder 4.8.6.
Workaround
Konfiguriere Deinen Webserver so, dass keinen PHP-Dateien und andere Skripte im Contao Upload-Verzeichnis ausgeführt werden.