Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden.

Uneingeschränkte Datei-Uploads

Datum: 17.12.2019
CVE-ID: CVE-2019-19745

Beschreibung

Ein Backend-Benutzer mit Zugriff auf den Formulargenerator kann beliebige Dateien auf den Server laden und ausführen.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.45
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8 bis 4.8.5

Empfohlene Lösung

Update auf Contao 4.4.46 oder 4.8.6.

Workaround

Konfiguriere Deinen Webserver so, dass keinen PHP-Dateien und andere Skripte im Contao Upload-Verzeichnis ausgeführt werden.

Zurück zur Übersicht.

Sicherheitsrichtlinie

Wenn du glaubst ein Si­cher­heits­pro­blem in Con­tao ge­fun­den zu ha­ben, mel­de es bit­te ge­mäß un­se­rer Si­cher­heits­richt­li­nie.