Contao Version 3.5.32 ist verfügbar. Das Bugfix-Release behebt unter anderem eine XSS-Schwachstelle in der Newsletter-Erweiterung (CVE-2018-5478).
Ganzen Beitrag zu 'Contao 3.5.32 verfügbar' lesen
Druckbare Version
Contao Version 3.5.32 ist verfügbar. Das Bugfix-Release behebt unter anderem eine XSS-Schwachstelle in der Newsletter-Erweiterung (CVE-2018-5478).
Ganzen Beitrag zu 'Contao 3.5.32 verfügbar' lesen
Vorsicht, Contao 3.5.32 benötigt mindestens PHP 5.5.0: https://community.contao.org/de/show...l=1#post462015
// wird aber bald behoben sein, denke ich
Kurze Frage: Reicht es (um die XSS-Schwachstelle zu beheben), in der
system/modules/newsletter/modules/ModuleUnsubscribe.php
$this->Template->email = urldecode(\Input::get('email'));
durch
$this->Template->email = \Input::get('email');
zu ersetzen?
Gruß
Thomas
Lässt sich die Schwachstelle nur bei Verwendung des genannten Moduls im FE ausnutzen oder gibt es theoretisch auch noch andere Angriffsszenarien?
Von hier: https://contao.org/de/news/contao_3-5-32.html
Zitat:
Sofern die Newsletter-Erweiterung bzw. das Modul "Kündigen" nicht verwendet wird, ist die Installation von der XSS-Schwachstelle nicht betroffen.
Laut commit, ja, das würde reichen.
Es wurden aber noch mehr Bugs behoben.
Heute Abend kommt dann wieder eine UpdateZIP für easyupdate3, damit wirds auch leichter :D