Sicherheitshinweise
Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.
Cross-Site-Scripting durch HTML-Attribute im Backend
von Leo Feyer
Datum: 11.08.2021
CVE-ID: CVE-2021-35955
Nicht vertrauenswürdige Benutzer können Schadcode in HTML-Attribute im Backend einschleusen, der dann sowohl in der Element-Vorschau (Backend) als auch auf der Webseite (Frontend) ausgeführt wird.
Installationen sind nur betroffen, wenn es nicht vertrauenswürdige Backend-Benutzer gibt, die das Recht haben, HTML-Felder (z. B. TinyMCE) zu bearbeiten.
Danke an Mikhail Khramenkov vom Solar Security Research Team für das Melden des Problems.
Betroffene Versionen
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.55
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9 bis 4.9.17
Contao 4.10
Contao 4.11 bis 4.11.6
Empfohlene Lösung
Update auf Contao 4.4.56, 4.9.18 oder 4.11.7.
Workaround
Deaktiviere alle Felder, die HTML erlauben, für nicht vertrauenswürdige Backend-Benutzer oder deaktiviere die Anmeldung für diese Benutzer.
Mehr Informationen
https://github.com/contao/contao/security/advisories/GHSA-hr3h-x6gq-rqcp