Ukazała się nowa wersja Contao oznaczona numerem 3.5.37. To wydanie naprawia lukę bezpieczeństwa CVE-2018-20028.
CVE-2018-20028
CVE-2018-20028 określa lukę bezpieczeństwa w Contao, która pozwala zalogowanym użytkownikom backendu (redaktorom) na zobaczenie rekordów, do których nie powinni mieć dostępu. Są dwa sposoby na wykorzystanie luki:
1. Jeśli użytkownik bez przypisanych stron użyje filtrowania w strukturze stron, to zobaczy wszystkie strony pasujące do wyników wyszukiwania – nawet te, do których nie powinien mieć dostępu.
2. Przez manipulację URL, użytkownik może uzyskać dostęp do rekordu w widoku rodzica – np. do artykułów innego użytkownika lub newsów z innego archiwum. Nie jest jednak możliwa modyfikacja tych rekordów.
Problem został naprawiony w Contao 3.5.37, Contao 4.4.31 oraz Contao 4.6.11.
Zalecamy aktualizację systemu!