关键信息 漏洞描述 漏洞名称: Remote command execution through file uploads 严重性: 高 (8.3/10) CVSS v3 base metrics: - Attack vector: Network - Attack complexity: Low - Privileges required: Low - User interaction: None - Scope: Unchanged - Confidentiality: High - Integrity: High - Availability: Low 影响范围 受影响的版本: >=4.0.0 已修复的版本: 4.13.49, 5.3.15, 5.4.3 影响 描述: 后端用户可以通过文件管理器上传恶意文件并在服务器上执行。 补丁: 更新到 Contao 4.13.49, 5.3.15 或 5.4.3。 工作绕过 建议: 配置您的Web服务器,使其不执行Contao文件上传目录中的PHP文件和其他脚本。 参考 链接: https://contao.org/en/security-advisories/remote-command-execution-through-file-uploads 更多信息 联系: 如果您有关于此公告的任何问题或意见,请在 contao/contao 中打开问题。 信用 感谢: 感谢 Jakob Steeg 从 usd AG 报告此漏洞。