Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.

Cross-Site-Scripting durch HTML-Attribute im Backend

Datum: 11.08.2021
CVE-ID: CVE-2021-35955

Nicht vertrauenswürdige Benutzer können Schadcode in HTML-Attribute im Backend einschleusen, der dann sowohl in der Element-Vorschau (Backend) als auch auf der Webseite (Frontend) ausgeführt wird.

Installationen sind nur betroffen, wenn es nicht vertrauenswürdige Backend-Benutzer gibt, die das Recht haben, HTML-Felder (z. B. TinyMCE) zu bearbeiten.

Danke an Mikhail Khramenkov vom Solar Security Research Team für das Melden des Problems.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.55
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9 bis 4.9.17
Contao 4.10
Contao 4.11 bis 4.11.6

Empfohlene Lösung

Update auf Contao 4.4.56, 4.9.18 oder 4.11.7.

Workaround

Deaktiviere alle Felder, die HTML erlauben, für nicht vertrauenswürdige Backend-Benutzer oder deaktiviere die Anmeldung für diese Benutzer.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-hr3h-x6gq-rqcp

Zurück zur Übersicht.