von Leo Feyer

Cross-Site-Scripting mittels Canonical-URL

Datum: 05.05.2022
CVE-ID: CVE-2022-24899

Nicht vertrauenswürdige Benutzer können Schadcode in das Canonical-Tag einschleusen, der dann auf der Webseite (Frontend) ausgeführt wird.

Betroffene Versionen

Contao 4.13 bis 4.13.2

Empfohlene Lösung

Update auf Contao 4.13.3.

Workaround

Deaktiviere kanonische URLs in den Einstellungen der Root-Seite.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-m8x6-6r63-qvj2