Contao 3.5.28を利用可能
2017年7月28日 10:11 Leo Feyer
Contaoバージョン3.5.28を利用できます。このバグ修正リリースでは、バックエンドで任意のPHPファイルのインクルードに関する脆弱性を修正しています。
CVE-2017-10993
ログイン済みのバックエンドのユーザーが、URLのパラメーターを操作して任意のPHPのファイルをインクルードできました。Contaoはファイル管理でPHPのファイルのアップロードを許可していないので、攻撃はサーバー上に既に存在するPHPのファイルに限定されます。
この問題はContao 3.0.0から3.5.27とContao 4.0.0と4.4.0に影響があります。
この脆弱性は危機的なものとは考えていませんが、Contao 3.5.28またはContao 4.4.1に更新することを強く推奨します。
こちらも参照: GitHubのチケット | GitHubの比較表示 | Contaoの変更履歴(本サイトの翻訳) | リリースの概要