Sicherheitshinweise
Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.
Cross-Site-Scripting im System-Log
von Leo Feyer
Datum: 23.06.2021
CVE-ID: CVE-2021-35210
Es ist möglich, Code in die Tabelle tl_log
einzuschleusen, der beim Aufruf des Systemlogs im Backend im Browser ausgeführt wird. Der Angreifer muss dazu nicht angemeldet sein.
Betroffene Versionen
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9 bis 4.9.15
Contao 4.10
Contao 4.11 bis 4.11.4
Empfohlene Lösung
Update auf Contao 4.9.16 oder 4.11.5.
Workaround
Deaktiviere das System-Log-Modul im Backend für alle Benutzer (insbesondere für Administratoren).
Mehr Informationen
https://github.com/contao/contao/security/advisories/GHSA-h58v-c6rf-g9f7