Dieses Release wurde nötig, aufgrund einer behobenen Sicherheitslücke in einem Drittanbieter-Paket. Das betroffene Paket ist enshrined/svg-sanitize und es wird in Contao benutzt, um SVG-Dateien vor Schadcode zu befreien. In diesem Paket wurde eine Sicherheitslücke gefunden, welche in Version 0.22 des Pakets behoben wurde. Leider wurde dies als neue 0er-Version veröffentlicht. 0er-Versionen werden in Composer speziell behandelt. Entwickler:innen können so Pakete veröffentlichen und den Nutzer:innen dieses Pakets mitteilen, dass sie sich noch nicht ganz sicher über die finale API des Paketes sind und ggf. weitere 0er-Versionen mit API-Breaks folgen werden. Entsprechend wird Composer als Vorsichtsmassnahme niemals automatisch von 0.21 auf 0.22 aktualisieren, wie das etwa von Version 1.0 auf 1.1 der Fall wäre.
Den Bugfix für die Sicherheitslücke als neue 0er-Version zu veröffentlichen ist entsprechend eine unglückliche Entscheidung, denn es zwingt jetzt Projekte wie Contao, die Abhängigkeiten in der composer.json zu aktualisieren und selbst neue Versionen zu veröffentlichen, damit alle Anwender:innen die Möglichkeit haben, diese Sicherheitslücke zu schliessen.
Über Contao 4.13 LTS
Die erste stabile Version von Contao 4.13 wurde am 17. Februar 2022 veröffentlicht und löst Contao 4.9 als Version mit verlängertem Supportzeitraum ab. Als LTS-Versionen wurde die 4.13 bis am 14. Februar 2025 mit Bugfixes versorgt und bis am 14. Februar 2026 mit sicherheitsrelevanten Updates. Contao 5.3 wurde die nächste LTS-Version von Contao und erschien im Februar 2024 und gewährleistet so, einen stressfreien Übergang.
