日付: 2021年8月11日
CVE ID: CVE-2021-37626

説明

バックエンドで信頼できないユーザーが挿入タグを経由して任意のPHPファイルを読み込むことが可能です。

信頼できないバックエンドのユーザーが存在する場合だけ影響があります。

影響のあるバージョン

• Contao 4.0
• Contao 4.1
• Contao 4.2
• Contao 4.3
• Contao 4.4から4.4.55まで
• Contao 4.5
• Contao 4.6
• Contao 4.7
• Contao 4.8
• Contao 4.9からContao 4.9.17まで
• Contao 4.10
• Contao 4.11から4.11.6まで

推奨する解決方法

Contao 4.4.56、4.9.18、4.11.7に更新してください。

回避方法

信頼できないバックエンドユーザーを無効にしてください。

さらに詳しい情報

https://github.com/contao/contao/security/advisories/GHSA-r6mv-ppjc-4hgr

PHP file inclusion via insert tagsの翻訳です。