von Leo Feyer

Cross-Site-Scripting in Templates

Datum: 25.11.2025
CVE-ID: CVE-2025-65961

Es ist möglich, Code in die Template-Ausgabe einzufügen, der im Browser im Frontend und Backend ausgeführt wird.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.56
Contao 5.0
Contao 5.1
Contao 5.2
Contao 5.3 bis 5.3.41
Contao 5.4
Contao 5.5
Contao 5.6 bis 5.6.4

Empfohlene Lösung

Update auf Contao 4.13.57, 5.3.42 oder 5.6.5.

Workaround

Verwende die betroffenen Templates nicht oder patche sie manuell.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-68q5-78xp-cwwc

Alle Sicherheitshinweise anzeigen