Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden.

Cross-Site-Scripting im System-Log

Datum: 18.04.2018
CVE-ID: CVE-2018-10125

Beschreibung

Durch einen manipulierten Request kann ein Angreifer ein Skript einschleusen, das ausgeführt wird, wenn ein angemeldeter Backend-Benutzer das System-Log aufruft. Der Angreifer muss dazu nicht selbst angemeldet sein.

Betroffene Versionen

Contao 3.* bis 3.5.33
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.16
Contao 4.5 bis 4.5.6

Empfohlene Lösung

Update auf Contao 3.5.34, 4.4.17 oder 4.5.7.

Zurück zur Übersicht.

Sicherheitsrichtlinie

Wenn du glaubst ein Si­cher­heits­pro­blem in Con­tao ge­fun­den zu ha­ben, mel­de es bit­te ge­mäß un­se­rer Si­cher­heits­richt­li­nie.