Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.

Uneingeschränkte Datei-Uploads

Datum: 17.12.2019
CVE-ID: CVE-2019-19745

Beschreibung

Ein Backend-Benutzer mit Zugriff auf den Formulargenerator kann beliebige Dateien auf den Server laden und ausführen.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.45
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8 bis 4.8.5

Empfohlene Lösung

Update auf Contao 4.4.46 oder 4.8.6.

Workaround

Konfiguriere Deinen Webserver so, dass keinen PHP-Dateien und andere Skripte im Contao Upload-Verzeichnis ausgeführt werden.

Zurück zur Übersicht.