Setzen Sie Contao ein? Seit gestern ist eine kritische Sicherheitslücke bekannt! Wir empfehlen dringend ein Update auf die neuste Version.

Zu der potentiellen PHP-Object-Injection Sicherheitslücke, die wir mit den letzten Updates auf Contao 3.2.5 bzw. 2.11.14 prophylaktisch behoben haben, ist nun leider ein Exploit aufgetaucht.

Die Sicherheitslücke kann dazu genutzt werden, beliebigen PHP-Code auf dem Server auszuführen (Arbitrary Code Execution) und ist somit als schwerwiegend einzustufen. Ein Update auf die neueste Contao-Version, entweder 3.2.5 oder 2.11.14, wird dringend empfohlen!

Wer seine Contao-Installation nicht kurzfristig aktualisieren kann, sollte unbedingt die Änderungen aus dem Commit d67c46c1 entsprechend nachvollziehen. Die Extension-Entwickler sind dringend angehalten, ihre Erweiterungen zu prüfen, dass keine Benutzereingaben an die Funktion deserialize() übergeben werden.

Quelle: contao.org

Timo Mankartz

Director Customer Success bei dogado GmbH
Gründer, Teilhaber, Entrepreneur und Fan des web2.0. Als Director Customer Success verantworte ich den Kundenservice der dogado GmbH.