セキュリティの脆弱性 CVE-2018-17057
2018年9月18日 10:43 Leo Feyer
CVE-2018-17057で識別されるTCPDFのセキュリティの脆弱性は、Contaoにも影響します。
操作された画像ファイルを通して、ログインしているバックエンドユーザーは任意のコードを埋め込むことができ、そのコードはフロントエンドでアーティクルをPDFとしてエクスポートするときに実行されます。この脆弱性はTCPDF 6.2.22で修正しています。
Contao 4ではContao Managerで依存関係を更新し、最新のバージョンのTCPDFもインストールされます。さらにContao 4.4.25と4.6.4では明示的にTCPDFのバージョンへの制約として^6.2.22
を含めています。
Contao 3.5では、この問題を3.5.36で修正しています。
この記事はSecurity vulnerability CVE-2018-17057の翻訳です。