von Leo Feyer
Cross-Site-Scripting in Widgets mit Einheiten
Datum: 25.07.2023
CVE-ID: CVE-2023-36806
Im Backend angemeldete Benutzer können Schadcode in Widgets mit Einheiten einschleusen, der dann sowohl in der Element-Vorschau (Backend) als auch auf der Webseite (Frontend) ausgeführt wird.
Danke an Christian Pöschl und Fabian Brenner von der usd AG für das Melden der Schwachstelle.
Betroffene Versionen
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9 bis 4.9.41
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.27
Contao 5.0
Contao 5.1 bis 5.1.9
Empfohlene Lösung
Update auf Contao 4.9.42, 4.13.28 oder 5.1.10.
Mehr Informationen
https://github.com/contao/contao/security/advisories/GHSA-4gpr-p634-922x