Contao 2.11.2 schließt zwei Sicherheitslücken

Update NOW!
Contao ist in der Version 2.11.2 verfügbar. Das aktuelle Update behebt zwei Sicherheitsschwachstellen, von denen eine als ernst einzustufen ist. Das Problem betrifft alle Contao-Installationen vor Version 2.11.2.

Nur wenige Tage nach Veröffentlichung des Bugfix-Release 2.11.1 ist seit soeben1 die Contao Version 2.11.2 verfügbar. Es wurde eine kritische Sicherheitslücke im File-Manager geschlossen, die Benutzern des Backends den Download von Dateien erlaubt, für die sie keine Zugriffsberechtigung haben. Für diese Schwachstelle wird ein manueller Hotfix der Datei popup.php empfohlen, falls ein kurzfristiges Einspielen des Updates nicht möglich ist:

Nach

die('File not found');
}

ist folgender Code einzufügen:

// Check whether the file is mounted (thanks to Marko Cupic)
if (!$this->User->hasAccess($this->strFile, 'filemounts'))
{
die('Permission denied');
}

Eine weitere, jedoch laut Changelog nicht als kritisch bewertete Sicherheitsschwachstelle betrifft ein mögliches Cross-Site-Scripting im Undo-Modul.


Fußnote 1:
Offizielle Contao-Mitteilung vom 14.3.2012: Contao 2.11.2 verfügbar

Share on Facebook Share on Twitter Post to Delicious! Post to Diaspora!
Marc Stenzel

Über Marc Stenzel

Marc Stenzel ist Inhaber der New Media Agentur media deluxe sowie freiberuflich als Marketing- und Projektmanager Online, Dozent und Fachjournalist (DFJV) tätig. Marc Stenzel bloggt hier über aktuelle Themen aus dem fachlichen und räumlichen Umfeld des Unternehmens - mal sachlich, mal humorvoll:
Dieser Beitrag wurde unter CMS News, CMS Sicherheitswarnungen abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentare sind geschlossen.