Contao 3.2.9とContao 2.11.17のセキュリティ修正
Contao 3.2.9とContao 2.11.17にはインストールツールの脆弱性(Contaoに新しいセキュリティホールを参照)を修正しています。
Contaoのインストールツールはインストール時にパスワードを設定して保護していますが、これをすり抜ける脆弱性が発見されました。インストールツールでは通常のバックエンドのアクセス権も適用されませんので、たいへん深刻な脆弱性と言えます。
直ちにContao 3.2.9または2.11.17以降に更新すべきですが、それが困難な場合はインストールツールにアクセスできないようにcontao/install.php
のファイルを削除するか、ファイルのアクセス権を設定(chmod 0 contao/install.php
)してリモートからアクセスできないようにする必要があります。
なお、Contao 2.11よりも前の古いバージョンやTYPOlightにも、この問題は存在すると考えられます。