Datum: 25.04.2023
CVE-ID: CVE-2023-29200
Im Backend angemeldete Benutzer können in der Dateiverwaltung Dateien außerhalb des Document-Root auflisten.
Weiterlesen...
Datum: 25.04.2023
CVE-ID: CVE-2023-29200
Im Backend angemeldete Benutzer können in der Dateiverwaltung Dateien außerhalb des Document-Root auflisten.
Weiterlesen...
Danke für die Info.
Nur zu meinem Verständnis.
Man muss in BE angemeldet sein und schon etwas versierter in der Anwendung und im Computerverständis.
Der "normale" Anwender schafft das nicht so ohne weiters und wenn kann er auch nichts machen. (Ich hätte jetzt auf die schnelle auch nicht so die Idee wie ich das schaffen kann
Oder verstehe ich das falsch.
Viele Grüße und bis in einer Woche
Alex
Eine Lücke bleibt eine Lücke Mehr gibt es dazu eigentlich nicht zu sagen...
Liebe Grüße
WebRoxx
Das stimmt natürlich.
ich würde es nur gerne verstehen - und ich traue es keinem meiner Kunden zu bzw. mache die hälfte der Änderungen.
Daher macht es für mich schon einen kleinen unterschied ob jedes Skript Kid mit einem Zweizeiler etwas anstellen kann oder ob man schon mehr Kenntnisse braucht.
Reicht ja das jemand bei einem Deiner unbedarften Nutzer den vorhandenen Backendzugang knackt/stiehlt.
Ich habe Dir mit meinen Hinweisen geholfen und Du möchtest Dich bedanken?
Unterstütze bitte das Contao-Projekt (Button Links)
Weitere Spendenmöglichkeiten
------------------------------------------------------------------------------------------------------
Contao-Dokumentation: Contao-Handbuch und Contao-Entwickler-Doku
Contao-Online-Video-Kurse: Contao Academy
Funktionalität erweitern: Contao-Erweiterungen
Für Dinge die man mit html5 und css3 lösen kann, braucht man kein javascript.
So verstehe ich das auch.
Auch meine Einschätzung lautet: Nicht alles wird so heiß gegessen, wie es gekocht wird.
Bei Seiten, wo die Backend-Zugänge vernünfig abgesichert sind (2FA, ggf. nur von bekannten IPs erreichbar), reicht es wohl das Update im regulären Zyklus einzuspielen.
Ja, man kann Dateien außerhalb der Dateiverwaltung (also des Files-Ordners) abrufen. Bei einem sauber konfiguriertem Webhosting sollte ich da aber nicht allzuweit kommen.
Da ist der Gag, den Strato sich leistet eindeutig besser.
D.h. ich bekomme sogar nur ein Directorylisting und noch nichtmal den Inhalt?
Das habe ich aus der Meldung anders verstanden. So verstehe ich erst recht nicht, warum dann so ein Wirbel gemacht wurde.
Dann ist das für mich ein normaler Fehler.
verstehe auch den wirbel nicht wenn autos zurückgerufen werden weil es sein kann "das was passiert" aber nicht muss
Wenn ihr kunden habt macht einfach das update, wenn ihr es privat nutzt lasst es halt... das update / fix ist nun kein hexenwerk wie ne umstellung von contao 3 auf contao 4
Liebe Grüße
WebRoxx
Dateinamen können ebenfalls vertrauliche Informationen enthalten. Z.B.
Deswegen ist das definitiv eine Sicherheitslücke.Code:scheidung_kevin_und_chantal_jones.csv
Sonst hätten wir das im Core-Team sicher auch anders entschieden - ein Sicherheitsupdate ist nämlich verdammt viel Aufwand für uns.
Macht einfach ein Update und gut ist, danke
Contao Core-Entwickler @terminal42 gmbh
Wir sind Contao Premium-Partner!
Für Individuallösungen kannst du uns gerne kontaktieren.
PS: Heute schon getrakked?
Aktive Benutzer in diesem Thema: 2 (Registrierte Benutzer: 0, Gäste: 2)
Lesezeichen