Ein Contao Sicherheitsupdate ist verfügbar
Neben regelmäßig auftretender Sicherheitslücken anderer CM-Systemen ist nun auch eine solche Lücke bei dem sehr sicheren Contao System aufgetaucht. Nach dem Auftreten der Sicherheitslücke bieten jedoch die Entwickler innerhalb kürzester Zeit ein Update zur Behebung an.
Heute am 12.07.2017 wurde ein Contao-Update mit der Versionsnummer 3.5.28 veröffentlicht. Dieses behebt eine Sicherheitslücke, welches einem angemeldetem Backend-Benutzer erlaubt, beliebige PHP-Dateien auszuführen, indem er einen URL-Parameter manipuliert. Standardmäßig erlaubt Contao das Hochladen von PHP-Dateien nicht. Somit ist ein Angriff mit den auf dem Server vorhandenen PHP-Dateien beschränkt.
Das Problem betrifft Contao Versionen ab 3.0.0.
Die Schwachstelle wurde von den Entwicklern zwar als “nicht kritisch” eingestuft, jedoch empfiehlt das Dreibein Team trotzdem ein Update auf die aktuelle Version.