Noticias sobre Contao

El Bugfix-Release corrige una vulnerabilidad de inclusión de archivos PHP en el back-end.

CVE-2017-10993

Un usuario final registrado puede incluir archivos PHP arbitrarios mediante la manipulación de un parámetro de URL. Como Contao no permite cargar archivos PHP en el gestor de archivos, el ataque se limita a los archivos PHP existentes en el servidor.

El problema afecta a Contao 3.0.0 a 3.5.27 ya Contao 4.0.0 a 4.4.0.

Aunque no consideramos que la vulnerabilidad sea crítica, recomendamos encarecidamente actualizar a Contao 3.5.28 o Contao 4.4.1.

Selector DCA

Desafortunadamente, el nuevo selector DCA, que se ha agregado en Contao 4.4.0, todavía no es utilizable para los usuarios regulares de back-end en Contao 4.4.1.

Para arreglar el selector, tenemos que volver a trabajar la implementación desde cero (vea contao/core-bundle#950), por lo tanto pedimos a todos los desarrolladores que no publiquen extensiones usando el nuevo selector todavía. La nueva implementación no puede ser compatible con versiones anteriores por razones técnicas.

Vea también: GitHub tickets | GitHub compare view | Contao change log | Lista de publicaciones