von Leo Feyer

Uneingeschränkte Datei-Uploads

Datum: 17.12.2019
CVE-ID: CVE-2019-19745

Beschreibung

Ein Backend-Benutzer mit Zugriff auf den Formulargenerator kann beliebige Dateien auf den Server laden und ausführen.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.45
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8 bis 4.8.5

Empfohlene Lösung

Update auf Contao 4.4.46 oder 4.8.6.

Workaround

Konfiguriere Deinen Webserver so, dass keinen PHP-Dateien und andere Skripte im Contao Upload-Verzeichnis ausgeführt werden.