Cross-Site-Scripting in der Dateiverwaltung

Datum: 09.04.2024
CVE-ID: CVE-2024-28190

Benutzer können beim Hochladen von Dateien bösartigen Code in Dateinamen einfügen, der dann in Tooltips und Popups im Backend ausgeführt wird.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.39
Contao 5.0
Contao 5.1
Contao 5.2
Contao 5.3 bis 5.3.3

Empfohlene Lösung

Update auf Contao 4.13.40 oder 5.3.4.

Workaround

Deaktiviere Uploads für nicht vertrauenswürdige Benutzer.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-v24p-7p4j-qvvf