Contao 2.11.4のセキュリティ修正
Contao 2.11.4で行われたセキュリティ修正はリリースアナウンスに記述されているだけですが、少しだけ補足します。
脆弱性の対象
脆弱性の対象として関係するのはバックエンドのユーザーです。フロントエンドのユーザーであるメンバーは関係ありません。バックエンドのユーザーはバックエンドで可能な作業の違いで、次の2つに分けられます。
- 所定のアクセス制限に従う通常のユーザー
- そのようなアクセス制限が一切適用されない管理者ユーザー
ここで、前者の通常ユーザーが後者の管理者ユーザーの権限を得ることが可能な状況があったというのが今回の問題です。
問題にならない場面
バックエンドのユーザー間の権限昇格の問題なので、以下のような危険性はありません。
- バックエンドのユーザーとしてログインしたユーザーを前提としていますので、バックエンドにログインできない限り影響を受けません。
- バックエンドのユーザーの問題なので、フロントエンド(公開しているサイト)のユーザー(メンバー)には関係ありません。