Contao 3.5.32 verfügbar

[contao.org]

Contao Version 3.5.32 ist verfügbar. Das Bugfix-Release behebt unter anderem eine XSS-Schwachstelle in der Newsletter-Erweiterung (CVE-2018-5478).


Ganzen Beitrag zu 'Contao 3.5.32 verfügbar' lesen

[Spooky]

Vorsicht, Contao 3.5.32 benötigt mindestens PHP 5.5.0: https://community.contao.org/de/show...l=1#post462015

// wird aber bald behoben sein, denke ich

[Thomas_tl]

Kurze Frage: Reicht es (um die XSS-Schwachstelle zu beheben), in der

system/modules/newsletter/modules/ModuleUnsubscribe.php

$this->Template->email = urldecode(\Input::get('email'));

durch

$this->Template->email = \Input::get('email');

zu ersetzen?

Gruß
Thomas

[bird]

Lässt sich die Schwachstelle nur bei Verwendung des genannten Moduls im FE ausnutzen oder gibt es theoretisch auch noch andere Angriffsszenarien?

[WebRoxx]

Lässt sich die Schwachstelle nur bei Verwendung des genannten Moduls im FE ausnutzen oder gibt es theoretisch auch noch andere Angriffsszenarien?

Von hier: https://contao.org/de/news/contao_3-5-32.html

Sofern die Newsletter-Erweiterung bzw. das Modul "Kündigen" nicht verwendet wird, ist die Installation von der XSS-Schwachstelle nicht betroffen.

[Buckshot]

Kurze Frage: Reicht es (um die XSS-Schwachstelle zu beheben), in der

system/modules/newsletter/modules/ModuleUnsubscribe.php

$this->Template->email = urldecode(\Input::get('email'));

durch

$this->Template->email = \Input::get('email');

zu ersetzen?

Wenn dies möglich wäre, würde es uns doch auch einiges an Updatearbeit ersparen
(auch wenn's nicht updatesicher ist)

[BugBuster]

Laut commit, ja, das würde reichen.
Es wurden aber noch mehr Bugs behoben.
Heute Abend kommt dann wieder eine UpdateZIP für easyupdate3, damit wirds auch leichter

[Spooky]

Wenn dies möglich wäre, würde es uns doch auch einiges an Updatearbeit ersparen
(auch wenn's nicht updatesicher ist)

Updatesicher ist diese Änderung schon, außer du aktualisierst auf eine Version die kleiner als 3.5.32 ist