Cross-Site-Scripting im System-Log

Datum: 18.04.2018
CVE-ID: CVE-2018-10125

Beschreibung

Durch einen manipulierten Request kann ein Angreifer ein Skript einschleusen, das ausgeführt wird, wenn ein angemeldeter Backend-Benutzer das System-Log aufruft. Der Angreifer muss dazu nicht selbst angemeldet sein.

Betroffene Versionen

Contao 3.* bis 3.5.33
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.16
Contao 4.5 bis 4.5.6

Empfohlene Lösung

Update auf Contao 3.5.34, 4.4.17 oder 4.5.7.