Dieses Release wurde nötig, aufgrund einer behobenen Sicherheitslücke in einem Drittanbieter-Paket. Das betroffene Paket ist enshrined/svg-sanitize und es wird in Contao benutzt, um SVG-Dateien vor Schadcode zu befreien. In diesem Paket wurde eine Sicherheitslücke gefunden, welche in Version 0.22 des Pakets behoben wurde. Leider wurde dies als neue 0er-Version veröffentlicht. 0er-Versionen werden in Composer speziell behandelt. Entwickler:innen können so Pakete veröffentlichen und den Nutzer:innen dieses Pakets mitteilen, dass sie sich noch nicht ganz sicher über die finale API des Paketes sind und ggf. weitere 0er-Versionen mit API-Breaks folgen werden. Entsprechend wird Composer als Vorsichtsmassnahme niemals automatisch von 0.21 auf 0.22 aktualisieren, wie das etwa von Version 1.0 auf 1.1 der Fall wäre.
Den Bugfix für die Sicherheitslücke als neue 0er-Version zu veröffentlichen ist entsprechend eine unglückliche Entscheidung, denn es zwingt jetzt Projekte wie Contao, die Abhängigkeiten in der composer.json zu aktualisieren und selbst neue Versionen zu veröffentlichen, damit alle Anwender:innen die Möglichkeit haben, diese Sicherheitslücke zu schliessen.
Changelog der behobenen Fehler in Contao 5.5.14:
- #8660 Aktualisierung von `enshrined/svg-sanitize` auf Version 0.22 (bytehead)
- #8652 Aktualisierung von `spomky-labs/otphp` auf Version 11 (bytehead)
Über Contao 5.5
Die erste stabile Version von Contao 5.5 wurd am 15. Februar 2025 veröffentlicht und wurde der Nachfolger von Contao 5.4. Die 5.5 wurde bis am 18. August 2025 mit Updates versehen und wurde danach von Contao 5.6 abgelöst.
