Sicherheitshinweise
Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.
Cross-Site-Scripting im System-Log
von Leo Feyer
Datum: 18.04.2018
CVE-ID: CVE-2018-10125
Beschreibung
Durch einen manipulierten Request kann ein Angreifer ein Skript einschleusen, das ausgeführt wird, wenn ein angemeldeter Backend-Benutzer das System-Log aufruft. Der Angreifer muss dazu nicht selbst angemeldet sein.
Betroffene Versionen
Contao 3.* bis 3.5.33
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.16
Contao 4.5 bis 4.5.6
Empfohlene Lösung
Update auf Contao 3.5.34, 4.4.17 oder 4.5.7.