Contao Version 3.5.32 ist verfügbar. Das Bugfix-Release behebt unter anderem eine XSS-Schwachstelle in der Newsletter-Erweiterung (CVE-2018-5478).
Ganzen Beitrag zu 'Contao 3.5.32 verfügbar' lesen
Contao Version 3.5.32 ist verfügbar. Das Bugfix-Release behebt unter anderem eine XSS-Schwachstelle in der Newsletter-Erweiterung (CVE-2018-5478).
Ganzen Beitrag zu 'Contao 3.5.32 verfügbar' lesen
Vorsicht, Contao 3.5.32 benötigt mindestens PHP 5.5.0: https://community.contao.org/de/show...l=1#post462015
// wird aber bald behoben sein, denke ich
Geändert von Spooky (18.01.2018 um 09:53 Uhr)
Kurze Frage: Reicht es (um die XSS-Schwachstelle zu beheben), in der
system/modules/newsletter/modules/ModuleUnsubscribe.php
$this->Template->email = urldecode(\Input::get('email'));
durch
$this->Template->email = \Input::get('email');
zu ersetzen?
Gruß
Thomas
Lässt sich die Schwachstelle nur bei Verwendung des genannten Moduls im FE ausnutzen oder gibt es theoretisch auch noch andere Angriffsszenarien?
Von hier: https://contao.org/de/news/contao_3-5-32.html
Sofern die Newsletter-Erweiterung bzw. das Modul "Kündigen" nicht verwendet wird, ist die Installation von der XSS-Schwachstelle nicht betroffen.
Liebe Grüße
WebRoxx
Laut commit, ja, das würde reichen.
Es wurden aber noch mehr Bugs behoben.
Heute Abend kommt dann wieder eine UpdateZIP für easyupdate3, damit wirds auch leichter
Grüße, BugBuster"view source" is your guide.Danke an alle Amazon Wunschlisten Erfüller
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
Lesezeichen