von Leo Feyer
Cross-Site-Scripting im System-Log
Datum: 23.06.2021
CVE-ID: CVE-2021-35210
Es ist möglich, Code in die Tabelle tl_log
einzuschleusen, der beim Aufruf des Systemlogs im Backend im Browser ausgeführt wird. Der Angreifer muss dazu nicht angemeldet sein.
Betroffene Versionen
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9 bis 4.9.15
Contao 4.10
Contao 4.11 bis 4.11.4
Empfohlene Lösung
Update auf Contao 4.9.16 oder 4.11.5.
Workaround
Deaktiviere das System-Log-Modul im Backend für alle Benutzer (insbesondere für Administratoren).
Mehr Informationen
https://github.com/contao/contao/security/advisories/GHSA-h58v-c6rf-g9f7