Contao 4.2.1とContao 3.5.15のセキュリティ修正

Contao 4.2.1ではCVE-2016-4567として報告された、MediaElement.jsの脆弱性を修正しています。

Contaoでは、MediaElement.jsはj_mediaelement.html5(とContao 3.5ではmediaelement.html)というjQueryのテンプレートで使用しています。そして、このjQueryのテンプレートはYouTubeやVimeoのコンテント要素で動画の再生に使用しています。

従って、これらの動画を再生するコンテント要素を使用していなければ影響は出ないことになります。

Contao 3.5.15もMediaElement.jsを脆弱性のないバージョンに置き換えていますので、Contao 3.5.15より前のリリースにも同じ問題があると考えた方が良いでしょう。

MediaElement.jsの脆弱性はWordPressで使用しているところから発見されたようですので、他のCMSやPHPのアプリケーションでもMediaElement.jsを使用している場合は注意が必要で、リリース2.21.2以降に更新する必要があります。詳細はMediaElement.jsのGitHubを参照してください。