Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.

Cross-Site-Scripting im System-Log

Datum: 23.06.2021
CVE-ID: CVE-2021-35210

Es ist möglich, Code in die Tabelle tl_log einzuschleusen, der beim Aufruf des Systemlogs im Backend im Browser ausgeführt wird. Der Angreifer muss dazu nicht angemeldet sein.

Betroffene Versionen

Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9 bis 4.9.15
Contao 4.10
Contao 4.11 bis 4.11.4

Empfohlene Lösung

Update auf Contao 4.9.16 oder 4.11.5.

Workaround

Deaktiviere das System-Log-Modul im Backend für alle Benutzer (insbesondere für Administratoren).

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-h58v-c6rf-g9f7

Zurück zur Übersicht.