Contao Sicherheitshinweise
Keine Software ist 100% fehlerfrei.
Und das gilt leider auch für das Contao CMS. In den letzten Jahren wurden immer wieder Sicherheitslücken in Contao entdeckt. Wir versuchen deshalb bei jedem Securitybericht möglichst schnell zu handeln und Ihre Website einem aktuellen Update zu unterziehen. Im Folgenden eine kleine History der letzten Sicherheitswarnungen und die Lösungen dazu.
16.9.2024 - Veröffentlichte Sicherheitslecks
| Schweregrad | Mehrere Schwachstellen für Contao gemeldet Risikostufe: 4 (hoch) CVSS Base Score: 8,3 CVSS Temporal Score: 7,2 Remoteangriff: Ja |
|---|---|
| Sicherheitslücke | Insert-Tag-Injection in Canonical URLs Es ist möglich, Insert-Tags in Canonical URLs im Frontend einzuschleusen, die bei der Ausgabe der Seite ersetzt werden. |
| Sicherheitslücke | Directory-Traversal im FileSelector-Widget Backend-Benutzer können im FileSelector-Widget Dateien außerhalb ihrer Filemounts bzw. des Document-Root auflisten. |
| Sicherheitslücke | Remote-Befehlsausführung durch Dateiuploads Backend-Benutzer mit Zugriff auf den Dateimanager können bösartige Dateien hochladen und auf dem Server ausführen. |
Empfohlene Lösung
Update auf Contao 4.13.49, 5.3.15 oder 5.4.3.
Weitere Informationen