Contao 3.5.28を利用可能

2017年7月28日 10:11 Leo Feyer

Contaoバージョン3.5.28を利用できます。このバグ修正リリースでは、バックエンドで任意のPHPファイルのインクルードに関する脆弱性を修正しています。

CVE-2017-10993

ログイン済みのバックエンドのユーザーが、URLのパラメーターを操作して任意のPHPのファイルをインクルードできました。Contaoはファイル管理でPHPのファイルのアップロードを許可していないので、攻撃はサーバー上に既に存在するPHPのファイルに限定されます。

この問題はContao 3.0.0から3.5.27とContao 4.0.0と4.4.0に影響があります。

この脆弱性は危機的なものとは考えていませんが、Contao 3.5.28またはContao 4.4.1に更新することを強く推奨します。