Contao 3.2.9とContao 2.11.17のセキュリティ修正

Contao 3.2.9とContao 2.11.17にはインストールツールの脆弱性(Contaoに新しいセキュリティホールを参照)を修正しています。

Contaoのインストールツールはインストール時にパスワードを設定して保護していますが、これをすり抜ける脆弱性が発見されました。インストールツールでは通常のバックエンドのアクセス権も適用されませんので、たいへん深刻な脆弱性と言えます。

直ちにContao 3.2.9または2.11.17以降に更新すべきですが、それが困難な場合はインストールツールにアクセスできないようにcontao/install.phpのファイルを削除するか、ファイルのアクセス権を設定(chmod 0 contao/install.php)してリモートからアクセスできないようにする必要があります。

なお、Contao 2.11よりも前の古いバージョンやTYPOlightにも、この問題は存在すると考えられます。