von Leo Feyer
Cross-Site-Scripting mittels Canonical-URL
Datum: 05.05.2022
CVE-ID: CVE-2022-24899
Nicht vertrauenswürdige Benutzer können Schadcode in das Canonical-Tag einschleusen, der dann auf der Webseite (Frontend) ausgeführt wird.
Betroffene Versionen
Contao 4.13 bis 4.13.2
Empfohlene Lösung
Update auf Contao 4.13.3.
Workaround
Deaktiviere kanonische URLs in den Einstellungen der Root-Seite.
Mehr Informationen
https://github.com/contao/contao/security/advisories/GHSA-m8x6-6r63-qvj2