2018年12月13日 18:20 Leo Feyer

CVE-2018-20028が割り当てられたContaoのセキュリティは、バックエンドにログインしたユーザーが許可されていないレコードを見ることができるというものです。脆弱性を突く2つの方法があります。

1. ページマウントのないバックエンドユーザーがサイト構造でフィルターを使用するした場合、フィルターに合致したページは許可していないにも関わらずすべて見ることができてしまいます。
2. URLの操作を通して、バックエンドユーザーは許可されていないレコードをペアレント表示でアクセスできます。例えば、他のユーザーのアーティクルや他のアーカイブのニュース項目に対してです。しかし、これらのレコードを変更することはできません。

この問題はContao 3.5.37、Contao 4.4.31、Contao 4.6.11で修正しています。

この記事はSecurity vulnerability CVE-2018-20028の翻訳です。