Contao 4.4.1を利用可能
2017年7月12日 10:48 Leo Feyer
Contaoバージョン4.4.1を利用できます。このバグ修正リリースでは、バックエンドで任意のPHPファイルのインクルードに関する脆弱性(CVE-2017-10993)を修正しています。
CVE-2017-10993
ログイン済みのバックエンドのユーザーが、URLのパラメーターを操作して任意のPHPのファイルをインクルードできました。Contaoはファイル管理でPHPのファイルのアップロードを許可していないので、攻撃はサーバー上に既に存在するPHPのファイルに限定されます。
この問題はContao 3.0.0から3.5.27とContao 4.0.0と4.4.0に影響があります。
この脆弱性は危機的なものとは考えていませんが、Contao 3.5.28またはContao 4.4.1に更新することを強く推奨します。
DCA picker
残念ながら、Contao 4.4.0で追加した新しいDCA選択は、Contao 4.4.1でも通常のバックエンドのユーザーでは使用できません。
このDCA選択を修正するには、ゼロから実装をしなおさなければなりません(contao/core-bundle#950を参照)。このため新しいDCA選択を使用した機能拡張を公開しないように、すべての開発者に依頼しています。技術的な理由のため、新しい実装は下位互換にはできません。
こちらも参照: Githubのチケット | Githubの比較表示 | Contaoの変更履歴 | リリースの概要