Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.

Cross-Site-Scripting im System-Log

Datum: 18.04.2018
CVE-ID: CVE-2018-10125

Beschreibung

Durch einen manipulierten Request kann ein Angreifer ein Skript einschleusen, das ausgeführt wird, wenn ein angemeldeter Backend-Benutzer das System-Log aufruft. Der Angreifer muss dazu nicht selbst angemeldet sein.

Betroffene Versionen

Contao 3.* bis 3.5.33
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.16
Contao 4.5 bis 4.5.6

Empfohlene Lösung

Update auf Contao 3.5.34, 4.4.17 oder 4.5.7.

Zurück zur Übersicht.