Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.

SQL-Injection im Dateimanager

30.04.2019 08:32 von Leo Feyer

Datum: 30.04.2019
CVE-ID: CVE-2019-11512

Die Suchfunktion des Dateimanagers ist anfällig für SQL-Injections. Das Problem betrifft alle Contao-Versionen ab Contao 4.1 und wurde in Contao 4.4.39 und 4.7.5 behoben.

Weiterlesen … SQL-Injection im Dateimanager

Invalidierung von Opt-In-Tokens

09.04.2019 12:21 von Leo Feyer

Datum: 09.04.2019
CVE-ID: CVE-2019-10643

Bei der Bestätigung eines Opt-In-Tokens werden vorherige Opt-In-Tokens nicht invalidiert. Das Problem betrifft Contao 4.7 und wurde in Contao 4.7.3 behoben.

Weiterlesen … Invalidierung von Opt-In-Tokens

Umgehung der Request-Token-Prüfung

09.04.2019 12:20 von Leo Feyer

Datum: 09.04.2019
CVE-ID: CVE-2019-10642

Die Request-Token-Prüfung kann umgangen werden. Das Problem betrifft Contao 4.7 und wurde in Contao 4.7.3 behoben.

Weiterlesen … Umgehung der Request-Token-Prüfung

Session-Invalidierung bei Passwortänderung

09.04.2019 10:44 von Leo Feyer

Datum: 09.04.2019
CVE-ID: CVE-2019-10641

Benutzer-Sessions werden nicht invalidiert, wenn ein Benutzer sein Passwort ändert. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.39, 4.4.37 und 4.7.3 behoben.

Weiterlesen … Session-Invalidierung bei Passwortänderung

Anzeige nicht freigegebener Datensätze im Backend

13.12.2018 14:12 von Leo Feyer

Datum: 13.12.2018
CVE-ID: CVE-2018-20028

Angemeldete Backend-Benutzer können Datensätze einsehen, die nicht für sie freigegeben wurden. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.37, 4.4.31 und 4.6.11 behoben.

Weiterlesen … Anzeige nicht freigegebener Datensätze im Backend

Ausführung von beliebigem Code in TCPDF

18.09.2018 10:29 von Leo Feyer

Datum: 18.09.2018
CVE-ID: CVE-2018-17057

Eine Sicherheitslücke in TCPDF erlaubt die Ausführung von beliebigem Code. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.36, 4.4.25 und 4.6.4 behoben.

Weiterlesen … Ausführung von beliebigem Code in TCPDF

Cross-Site-Scripting im System-Log

18.04.2018 09:23 von Leo Feyer

Datum: 18.04.2018
CVE-ID: CVE-2018-10125

Das System-Log im Backend ist anfällig für Cross-Site-Scripting. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.34, 4.4.17 und 4.5.7 behoben.

Weiterlesen … Cross-Site-Scripting im System-Log

SQL-Injection im Newslettermodul

18.01.2018 09:36 von Leo Feyer

Datum: 18.01.2018
CVE-ID: CVE-2018-5478

Das Newslettermodul "Kündigen" ist anfällig für SQL-Injections. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.32 behoben.

Weiterlesen … SQL-Injection im Newslettermodul

SQL-Injection im Backend-Suchfilter und im Listingmodul

15.11.2017 08:51 von Leo Feyer

Datum: 15.11.2017
CVE-ID: CVE-2017-16558

Der Backend-Suchfilter sowie das Listingmodul sind anfällig für SQL-Injections. Das Problem betrifft alle Contao-Versionen ab Contao 4.0 und wurde in Contao 4.4.8 behoben.

Weiterlesen … SQL-Injection im Backend-Suchfilter und im Listingmodul

PHP-File-Inclusion im Backend

12.07.2017 09:09 von Leo Feyer

Datum: 12.07.2017
CVE-ID: CVE-2017-10993

Ein angemeldeter Backend-Benutzer kann beliebige existierende PHP-Dateien ausführen. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.27 und 4.4.0 behoben.

Weiterlesen … PHP-File-Inclusion im Backend