Contao 3.5.37 dostępne

Ukazała się nowa wersja Contao oznaczona numerem 3.5.37. To wydanie naprawia lukę bezpieczeństwa CVE-2018-20028.

CVE-2018-20028

CVE-2018-20028 określa lukę bezpieczeństwa w Contao, która pozwala zalogowanym użytkownikom backendu (redaktorom) na zobaczenie rekordów, do których nie powinni mieć dostępu. Są dwa sposoby na wykorzystanie luki:

1. Jeśli użytkownik bez przypisanych stron użyje filtrowania w strukturze stron, to zobaczy wszystkie strony pasujące do wyników wyszukiwania – nawet te, do których nie powinien mieć dostępu.

2. Przez manipulację URL, użytkownik może uzyskać dostęp do rekordu w widoku rodzica – np. do artykułów innego użytkownika lub newsów z innego archiwum. Nie jest jednak możliwa modyfikacja tych rekordów.

Problem został naprawiony w Contao 3.5.37, Contao 4.4.31 oraz Contao 4.6.11.

Zalecamy aktualizację systemu!

Kamil Kuźmiński