Am 15.06.2026 hat Contao zwei Sicherheitsupdates veröffentlicht. Betroffen sind zum einen ein möglicher Credentials-Leak im Crawler und zum anderen ein Path-Traversal im Jobs-Modul.

Beim Crawler-Problem können Authorization-Credentials an externe URLs weitergegeben werden, wenn geschützte Seiten verarbeitet werden. Betroffen sind Contao 4.13 sowie die Versionen bis einschließlich 5.7.6; empfohlen wird ein Update auf Contao 5.3.47 oder 5.7.7.

Beim Jobs-Modul ist es theoretisch möglich, über eine manipulierte Download-URL die Log-Datei eines anderen Jobs herunterzuladen. Betroffen ist Contao 5.7 bis 5.7.6; hier empfiehlt Contao das Update auf 5.7.7.

Wer eine Contao-Website betreibt, sollte die Installation jetzt prüfen und beide Sicherheitsupdates zeitnah einspielen. Besonders wichtig ist außerdem, die Crawler-Konfiguration zu kontrollieren und geschützte Inhalte nicht unnötig automatisch erfassen zu lassen.

Mehr Informationen: Contao-Sicherheitshinweise