Contao 3.4.4とContao 3.2.19のセキュリティ修正

Contao 3.4.4Contao 3.2.19ではディレクトリトラバーサルの脆弱性(CVE-2015-0269)を修正しています。(Contao 3.2.19のリリース等を参照)

管理者でないバックエンドのユーザーがファイルマウントの外部や、管理者を含めたバックエンドのユーザーがドキュメントルートの外部のファイルの名前の一覧を得ることが可能となる脆弱性ですが、「外部のファイル」を修正したり、ファイルの内容にアクセスできるわけではありません。

いずれにしても、早めにContao 3.4.4やContao 3.2.19への更新をお勧めします。

また、さらに影響は小さいと思いますが、Contaoチェックにも同様の問題があり、バージョン9.12で修正されています。