Naja die Lücke ist in der ganz aktuellen QVS für 4.3.6 enthalten.
Die ist seit dem 30.11.2018 bekannt und veröffentlicht seit dem 30.01.2019.
Wer die Kiste also in der Firma einsetzt, sollte sich über Absicherung ggf. Gedanken machen.
Auch die gerade erschienene neue QVS 3.1.1079 enthält laut der Changelog noch keinen Fix.
Da scheinen mir schon Zweifel zu kommen, ob die selber ihre Firmware/App Versionen auf aktuelle Schwachstellen testen.