Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.

Cross-Site-Scripting in Widgets mit Einheiten

von Leo Feyer

Datum: 25.07.2023
CVE-ID: CVE-2023-36806

Im Backend angemeldete Benutzer können Schadcode in Widgets mit Einheiten einschleusen.

Weiterlesen …

Directory-Traversal in der Dateiverwaltung

von Leo Feyer

Datum: 25.04.2023
CVE-ID: CVE-2023-29200

Im Backend angemeldete Benutzer können in der Dateiverwaltung Dateien außerhalb des Document-Root auflisten.

Weiterlesen …

Cross-Site-Scripting mittels Canonical-URL

von Leo Feyer

Datum: 05.05.2022
CVE-ID: CVE-2022-24899

Nicht vertrauenswürdige Benutzer können Schadcode in das Canonical-Tag einschleusen, der dann auf der Webseite (Frontend) ausgeführt wird.

Weiterlesen …

Rechteausweitung mit dem Formulargenerator

von Leo Feyer

Datum: 11.08.2021
CVE-ID: CVE-2021-37627

Nicht vertrauenswürdige Benutzer können mit dem Formulargenerator Administratorrechte erhalten.

Weiterlesen …

PHP-File-Inclusion durch Insert-Tags

von Leo Feyer

Datum: 11.08.2021
CVE-ID: CVE-2021-37626

Nicht vertrauenswürdige Benutzer können beliebige PHP-Dateien mittels Insert-Tags laden.

Weiterlesen …

Cross-Site-Scripting durch HTML-Attribute im Backend

von Leo Feyer

Datum: 11.08.2021
CVE-ID: CVE-2021-35955

Nicht vertrauenswürdige Benutzer können Schadcode in HTML-Attribute im Backend einschleusen, der dann sowohl in der Element-Vorschau (Backend) als auch auf der Webseite (Frontend) ausgeführt wird.

Weiterlesen …

Cross-Site-Scripting im System-Log

von Leo Feyer

Datum: 23.06.2021
CVE-ID: CVE-2021-35210

Es ist möglich, Code in die Tabelle tl_log einzuschleusen, der beim Aufruf des Systemlogs im Browser ausgeführt wird. Das Problem betrifft alle Contao-Versionen ab Contao 4.5 und wurde in Contao 4.9.16 und 4.11.5 behoben.

Weiterlesen …

Insert-Tag-Injection in Formularen

von Leo Feyer

Datum: 24.09.2020
CVE-ID: CVE-2020-25768

Es ist möglich, Insert-Tags in Formulare im Frontend einzuschleusen, die bei der Ausgabe der Seite ersetzt werden. Das Problem betrifft alle Contao-Versionen ab Contao 4.0 und wurde in Contao 4.4.52, 4.9.6 und 4.10.1 behoben.

Weiterlesen …

Insert-Tag-Injection im Login-Modul

von Leo Feyer

Datum: 17.12.2019
CVE-ID: CVE-2019-19714

Es ist möglich, Inserttags in das Login-Modul einzuschleusen, die bei der Ausgabe der Seite ersetzt werden. Das Problem betrifft Contao 4.8.4 und 4.8.5 und wurde in Contao 4.8.6 behoben.

Weiterlesen …

Information-Disclosure im Backend

von Leo Feyer

Datum: 17.12.2019
CVE-ID: CVE-2019-19712

Backend-Benutzer können die URL der Detailansicht manipulieren, um Seiten und Artikel anzuzeigen, die nicht für sie freigegeben wurden. Das Problem betrifft alle Contao-Versionen ab Contao 4.0 und wurde in Contao 4.4.46 und 4.8.6 behoben.

Weiterlesen …

Abonnieren