Cross-Site-Scripting im System-Log

Datum: 23.06.2021
CVE-ID: CVE-2021-35210

Es ist möglich, Code in die Tabelle tl_log einzuschleusen, der beim Aufruf des Systemlogs im Backend im Browser ausgeführt wird. Der Angreifer muss dazu nicht angemeldet sein.

Betroffene Versionen

Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9 bis 4.9.15
Contao 4.10
Contao 4.11 bis 4.11.4

Empfohlene Lösung

Update auf Contao 4.9.16 oder 4.11.5.

Workaround

Deaktiviere das System-Log-Modul im Backend für alle Benutzer (insbesondere für Administratoren).

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-h58v-c6rf-g9f7