Security Issues

Druckbare Version

15.01.2026, 21:38
Jens_

Update 4.13.58 > 5.3.* > Security Issues

Hallo zusammen,

ich habe das in den Threads noch nicht gefunden, wahrscheinlich stelle ich mich mal wieder zu doof an. Beim Update einer schlanken Instanz (nur 1 Plugin, und das ist Contao 5-kompatibel) bekomme ich folgende Fehlermeldungen:

c

Code:

ontao/calendar-bundle 5.3.0 requires contao/core-bundle 5.3.0 -> found contao/core-bundle[5.3.0] but these were not loaded, because they are affected by security advisories ("PKSA-3p5h-vgz7-458z", "PKSA-wjhx-cdbz-9x61", "PKSA-4m99-84h8-dntz", "PKSA-v6p5-ssqr-1zcw", "PKSA-66g4-yhz3-k3zh", "PKSA-c2g8-xqxr-4cjw", "PKSA-pmyp-m45j-62p1", "PKSA-8psg-sb44-9n6y", "PKSA-5k7g-byhd-8xrm", "PKSA-rk65-kfm6-21d9", "PKSA-bxmw-zt4x-f182", "PKSA-g1qg-mn7d-638g"). Go to https://packagist.org/security-advisories/ to find advisory details. To ignore the advisories, add them to the audit "ignore" config. To turn the feature off entirely, you can set "block-insecure" to false in your "audit" config.

Nun steht in meiner Config-json aber schon:

Code:

{ "config": { "preferred-install": "dist", "store-auths": false, "optimize-autoloader": true, "sort-packages": true, "discard-changes": true, "allow-plugins": true, "audit": { "block-insecure": false } } }

Das ist es dann wohl nicht, oder? Hat jemand einen Hinweis, wo ich noch suchen muss?

Grüße
Jens_
15.01.2026, 21:47
Spooky

Versuchst du auf 5.3.0 zu aktualisieren? Du musst auf die neueste Contao 5.3 Version aktualisieren, also einfach 5.3.* bspw.
15.01.2026, 22:46
Jens_

Hi Spooky,

im Contao-Manager habe ich 5.3.* mitgegeben, so sieht es zu Beginn aus:

Code:

> Resolving dependencies using Composer Cloud v3.8.2-2-ge29a39b [7.0MiB/0.24s] Loading composer repositories with package information [66.7MiB/8.55s] Updating dependencies [91.6MiB/11.51s] Your requirements could not be resolved to an installable set of packages. [91.6MiB/11.51s] Problem 1 - Root composer.json requires contao/calendar-bundle 5.3.* -> satisfiable by contao/calendar-bundle[5.3.0, ..., 5.3.44]. - contao/calendar-bundle 5.3.0 requires contao/core-bundle 5.3.0 -> found contao/core-bundle[5.3.0] but these were not loaded, because they are affected by security advisories ("PKSA-3p5h-vgz7-458z", "PKSA-wjhx-cdbz-9x61", "PKSA-4m99-84h8-dntz", "PKSA-v6p5-ssqr-1zcw", "PKSA-66g4-yhz3-k3zh", "PKSA-c2g8-xqxr-4cjw", "PKSA-pmyp-m45j-62p1", "PKSA-8psg-sb44-9n6y", "PKSA-5k7g-byhd-8xrm", "PKSA-rk65-kfm6-21d9", "PKSA-bxmw-zt4x-f182", "PKSA-g1qg-mn7d-638g"). Go to https://packagist.org/security-advisories/ to find advisory details. To ignore the advisories, add them to the audit "ignore" config. To turn the feature off entirely, you can set "block-insecure" to false in your "audit" config. (...) - contao/calendar-bundle 5.3.9 requires contao/core-bundle 5.3.9 -> found contao/core-bundle[5.3.9] but these were not loaded, because they are affected by security advisories ("PKSA-3p5h-vgz7-458z", "PKSA-wjhx-cdbz-9x61", "PKSA-4m99-84h8-dntz", "PKSA-v6p5-ssqr-1zcw", "PKSA-66g4-yhz3-k3zh", "PKSA-c2g8-xqxr-4cjw", "PKSA-pmyp-m45j-62p1", "PKSA-8psg-sb44-9n6y", "PKSA-5k7g-byhd-8xrm"). Go to https://packagist.org/security-advisories/ to find advisory details. To ignore the advisories, add them to the audit "ignore" config. To turn the feature off entirely, you can set "block-insecure" to false in your "audit" config.

Scheinbar wird das immer so dargestellt, ich hatte nur einen Auszug dargestellt. Das Calendar-Bundle wird in zig Versionen als Fehler identifiziert. Es scheint aber in der Tat das Calendar-Bundle als Ursache einzig in Frage zu kommen?

Viele Grüße
Jens_
15.01.2026, 23:10
Spooky

Poste deine composer.json und die gesamte Konsolenausgabe.
16.01.2026, 00:58
dtptiger

Zitat:

"because they are affected by security advisories"

Ja, kenne ich, meine update Erfahrung mit 5.3.* und dem Composer war, ich sage, mal auch etwas schwierig.
Mit der Definition 5.3.* nudelt das System scheints alle Verianten der möglichen updates durch, und eben auch die mit "affectet", und bei "affectet" bricht der manager gnadenlos ab.

Ich löste das, nach try&error (und Schlafentzug), mit der definitiven Eingabe der Version 5.3.44
Aprpos, es gibt auch Extensions die man beim update nicht die Version aussuchen lassen darf :(

Viele Grüße dtptiger
16.01.2026, 09:31
Jens_

Updateproblem / Abhängigkeiten

Hallo spooky und dtptiger,

das mit dem 3.4.4 hat geholfen - damit lief alles durch. Habe noch eine Abhängigkeit gefunden, als das Log übersichtlicher wurde und schwupps, lief es durch. Danke Euch sehr - Ihr habt mir sehr, sehr geholfen!

Viele Grüße
Jens_