Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.

2021

Rechteausweitung mit dem Formulargenerator

von Leo Feyer

Datum: 11.08.2021
CVE-ID: CVE-2021-37627

Nicht vertrauenswürdige Benutzer können mit dem Formulargenerator Administratorrechte erhalten.

Weiterlesen …

PHP-File-Inclusion durch Insert-Tags

von Leo Feyer

Datum: 11.08.2021
CVE-ID: CVE-2021-37626

Nicht vertrauenswürdige Benutzer können beliebige PHP-Dateien mittels Insert-Tags laden.

Weiterlesen …

Cross-Site-Scripting durch HTML-Attribute im Backend

von Leo Feyer

Datum: 11.08.2021
CVE-ID: CVE-2021-35955

Nicht vertrauenswürdige Benutzer können Schadcode in HTML-Attribute im Backend einschleusen, der dann sowohl in der Element-Vorschau (Backend) als auch auf der Webseite (Frontend) ausgeführt wird.

Weiterlesen …

Cross-Site-Scripting im System-Log

von Leo Feyer

Datum: 23.06.2021
CVE-ID: CVE-2021-35210

Es ist möglich, Code in die Tabelle tl_log einzuschleusen, der beim Aufruf des Systemlogs im Browser ausgeführt wird. Das Problem betrifft alle Contao-Versionen ab Contao 4.5 und wurde in Contao 4.9.16 und 4.11.5 behoben.

Weiterlesen …

Abonnieren