Sicherheitshinweise

Datum: 13.12.2018
CVE-ID: CVE-2018-20028

Angemeldete Backend-Benutzer können Datensätze einsehen, die nicht für sie freigegeben wurden. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.37, 4.4.31 und 4.6.11 behoben.

Datum: 18.09.2018
CVE-ID: CVE-2018-17057

Eine Sicherheitslücke in TCPDF erlaubt die Ausführung von beliebigem Code. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.36, 4.4.25 und 4.6.4 behoben.

Datum: 18.04.2018
CVE-ID: CVE-2018-10125

Das System-Log im Backend ist anfällig für Cross-Site-Scripting. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.34, 4.4.17 und 4.5.7 behoben.

Datum: 18.01.2018
CVE-ID: CVE-2018-5478

Das Newslettermodul "Kündigen" ist anfällig für SQL-Injections. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.32 behoben.

Datum: 15.11.2017
CVE-ID: CVE-2017-16558

Der Backend-Suchfilter sowie das Listingmodul sind anfällig für SQL-Injections. Das Problem betrifft alle Contao-Versionen ab Contao 4.0 und wurde in Contao 4.4.8 behoben.

Datum: 12.07.2017
CVE-ID: CVE-2017-10993

Ein angemeldeter Backend-Benutzer kann beliebige existierende PHP-Dateien ausführen. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.27 und 4.4.0 behoben.

Datum: 12.02.2015
CVE-ID: CVE-2015-0269

Backend-Benutzer können Dateien außerhalb ihrer Filemounts bzw. des Document-Root auflisten. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.4.4 behoben.