Sicherheitshinweise
Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.
Cross-Site-Scripting mittels Canonical-URL
von Leo Feyer
Datum: 05.05.2022
CVE-ID: CVE-2022-24899
Nicht vertrauenswürdige Benutzer können Schadcode in das Canonical-Tag einschleusen, der dann auf der Webseite (Frontend) ausgeführt wird.
Betroffene Versionen
Contao 4.13 bis 4.13.2
Empfohlene Lösung
Update auf Contao 4.13.3.
Workaround
Deaktiviere kanonische URLs in den Einstellungen der Root-Seite.
Mehr Informationen
https://github.com/contao/contao/security/advisories/GHSA-m8x6-6r63-qvj2