Sicherheitshinweise
Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.
Cross-Site-Scripting in der Dateiverwaltung
von Leo Feyer
Datum: 09.04.2024
CVE-ID: CVE-2024-28190
Benutzer können beim Hochladen von Dateien bösartigen Code in Dateinamen einfügen, der dann in Tooltips und Popups im Backend ausgeführt wird.
Betroffene Versionen
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.39
Contao 5.0
Contao 5.1
Contao 5.2
Contao 5.3 bis 5.3.3
Empfohlene Lösung
Update auf Contao 4.13.40 oder 5.3.4.
Workaround
Deaktiviere Uploads für nicht vertrauenswürdige Benutzer.
Mehr Informationen
https://github.com/contao/contao/security/advisories/GHSA-v24p-7p4j-qvvf