Cross-Site-Scripting durch SVG-Uploads

Datum: 18.03.2025
CVE-ID: CVE-2025-29790

Benutzer können SVG-Dateien mit bösartigem Code hochladen, der dann im Backend und/oder Frontend ausgeführt wird.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.53
Contao 5.0
Contao 5.1
Contao 5.2
Contao 5.3 bis 5.3.29
Contao 5.4
Contao 5.5 bis 5.5.5

Empfohlene Lösung

Update auf Contao 4.13.54, 5.3.30 oder 5.5.6.

Workaround

Entferne svg,svgz aus den erlaubten Upload-Dateitypen in den Systemeinstellungen und aus contao.editable_files in der config.yaml.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-vqqr-fgmh-f626