L'actualité de Contao

La version 4.4.1 de Contao est disponible. Cette version corrige une vulnérabilité de type "inclusion de fichier arbitraire" dans le back office.

CVE-2017-10993

Un utilisateur connecté peut inclure des fichiers PHP arbitraires en manipulant un paramètre d'URL. Étant donné que Contao ne permet pas de télécharger des fichiers PHP via le gestionnaire de fichiers, l'attaque est limitée aux fichiers PHP existant sur le serveur.

La problème affecte Contao 3.0.0 à 3.5.27 et Contao 4.0.0 à 4.4.0.

Bien que nous ne considérions pas la vulnérabilité comme critique, nous vous recommandons vivement de mettre à jour vers Contao 3.5.28 ou Contao 4.4.1.

DCA picker

Malheureusement, le nouveau DCA Picker qui a été ajouté dans Contao 4.4.0, n'est toujours pas opérationnel dans Contao 4.4.1.

Pour fixer ce problème nous devons reprendre l'implémentation de zéro (voir contao/core-bundle#950), par conséquent nous demandons aux développeurs de ne pas publier des extensions qui utilisent le nouveau DCA Picker. La nouvelle implémentation ne peut pas être rétrocompatible pour des raisons techniques.

Voir aussi : Tickets GitHub | Vue comparative GitHub | Contao changelog | Liste des versions