Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.

Cross-Site-Scripting in Widgets mit Einheiten

von Leo Feyer

Datum: 25.07.2023
CVE-ID: CVE-2023-36806

Im Backend angemeldete Benutzer können Schadcode in Widgets mit Einheiten einschleusen, der dann sowohl in der Element-Vorschau (Backend) als auch auf der Webseite (Frontend) ausgeführt wird.

Danke an Christian Pöschl und Fabian Brenner von der usd AG für das Melden der Schwachstelle.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9 bis 4.9.41
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.27
Contao 5.0
Contao 5.1 bis 5.1.9

Empfohlene Lösung

Update auf Contao 4.9.42, 4.13.28 oder 5.1.10.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-4gpr-p634-922x

Alle Sicherheitshinweise anzeigen

Abonnieren