Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.

2019

Insert-Tag-Injection im Login-Modul

von Leo Feyer

Datum: 17.12.2019
CVE-ID: CVE-2019-19714

Es ist möglich, Inserttags in das Login-Modul einzuschleusen, die bei der Ausgabe der Seite ersetzt werden. Das Problem betrifft Contao 4.8.4 und 4.8.5 und wurde in Contao 4.8.6 behoben.

Weiterlesen …

Information-Disclosure im Backend

von Leo Feyer

Datum: 17.12.2019
CVE-ID: CVE-2019-19712

Backend-Benutzer können die URL der Detailansicht manipulieren, um Seiten und Artikel anzuzeigen, die nicht für sie freigegeben wurden. Das Problem betrifft alle Contao-Versionen ab Contao 4.0 und wurde in Contao 4.4.46 und 4.8.6 behoben.

Weiterlesen …

Uneingeschränkte Datei-Uploads

von Leo Feyer

Datum: 17.12.2019
CVE-ID: CVE-2019-19745

Ein Backend-Benutzer mit Zugriff auf den Formulargenerator kann beliebige Dateien auf den Server laden und ausführen. Das Problem betrifft alle Contao-Versionen ab Contao 4.0 und wurde in Contao 4.4.46 und 4.8.6 behoben.

Weiterlesen …

SQL-Injection im Dateimanager

von Leo Feyer

Datum: 30.04.2019
CVE-ID: CVE-2019-11512

Die Suchfunktion des Dateimanagers ist anfällig für SQL-Injections. Das Problem betrifft alle Contao-Versionen ab Contao 4.1 und wurde in Contao 4.4.39 und 4.7.5 behoben.

Weiterlesen …

Invalidierung von Opt-In-Tokens

von Leo Feyer

Datum: 09.04.2019
CVE-ID: CVE-2019-10643

Bei der Bestätigung eines Opt-In-Tokens werden vorherige Opt-In-Tokens nicht invalidiert. Das Problem betrifft Contao 4.7 und wurde in Contao 4.7.3 behoben.

Weiterlesen …

Umgehung der Request-Token-Prüfung

von Leo Feyer

Datum: 09.04.2019
CVE-ID: CVE-2019-10642

Die Request-Token-Prüfung kann umgangen werden. Das Problem betrifft Contao 4.7 und wurde in Contao 4.7.3 behoben.

Weiterlesen …

Session-Invalidierung bei Passwortänderung

von Leo Feyer

Datum: 09.04.2019
CVE-ID: CVE-2019-10641

Benutzer-Sessions werden nicht invalidiert, wenn ein Benutzer sein Passwort ändert. Das Problem betrifft alle Contao-Versionen und wurde in Contao 3.5.39, 4.4.37 und 4.7.3 behoben.

Weiterlesen …

Abonnieren