Contao 3.5.32 verfügbar

Contao Version 3.5.32 ist verfügbar. Das Bugfix-Release behebt unter anderem eine XSS-Schwachstelle in der Newsletter-Erweiterung (CVE-2018-5478).


Ganzen Beitrag zu 'Contao 3.5.32 verfügbar' lesen

Vorsicht, Contao 3.5.32 benötigt mindestens PHP 5.5.0: https://community.contao.org/de/show...l=1#post462015

// wird aber bald behoben sein, denke ich

Kurze Frage: Reicht es (um die XSS-Schwachstelle zu beheben), in der

system/modules/newsletter/modules/ModuleUnsubscribe.php

$this->Template->email = urldecode(\Input::get('email'));

durch

$this->Template->email = \Input::get('email');

zu ersetzen?

Gruß
Thomas

Lässt sich die Schwachstelle nur bei Verwendung des genannten Moduls im FE ausnutzen oder gibt es theoretisch auch noch andere Angriffsszenarien?

Zitat:

---

Zitat von bird

Lässt sich die Schwachstelle nur bei Verwendung des genannten Moduls im FE ausnutzen oder gibt es theoretisch auch noch andere Angriffsszenarien?

---

Von hier: https://contao.org/de/news/contao_3-5-32.html

Zitat:

---

Sofern die Newsletter-Erweiterung bzw. das Modul "Kündigen" nicht verwendet wird, ist die Installation von der XSS-Schwachstelle nicht betroffen.

---

Zitat:

---

Zitat von Thomas_tl

Kurze Frage: Reicht es (um die XSS-Schwachstelle zu beheben), in der

system/modules/newsletter/modules/ModuleUnsubscribe.php

$this->Template->email = urldecode(\Input::get('email'));

durch

$this->Template->email = \Input::get('email');

zu ersetzen?

---

Wenn dies möglich wäre, würde es uns doch auch einiges an Updatearbeit ersparen :)
(auch wenn's nicht updatesicher ist)

Laut commit, ja, das würde reichen.
Es wurden aber noch mehr Bugs behoben.
Heute Abend kommt dann wieder eine UpdateZIP für easyupdate3, damit wirds auch leichter :D

Zitat:

---

Zitat von Buckshot

Wenn dies möglich wäre, würde es uns doch auch einiges an Updatearbeit ersparen :)
(auch wenn's nicht updatesicher ist)

---

Updatesicher ist diese Änderung schon, außer du aktualisierst auf eine Version die kleiner als 3.5.32 ist ;)