Sicherheitshinweise
Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.
Insert-Tag-Injection in Canonical URLs
von Leo Feyer
Datum: 17.09.2024
CVE-ID: CVE-2024-45612
Es ist möglich, Insert-Tags in Canonical URLs im Frontend einzuschleusen, die bei der Ausgabe der Seite ersetzt werden.
Betroffene Versionen
Contao 4.13 bis 4.13.48
Contao 5.0
Contao 5.1
Contao 5.2
Contao 5.3 bis 5.3.14
Contao 5.4 bis 5.4.2
Empfohlene Lösung
Update auf Contao 4.13.49, 5.3.15 oder 5.4.3.
Workaround
Deaktiviere Canonical URLs in den Einstellungen des Website-Startpunkts.
Mehr Informationen
https://github.com/contao/contao/security/advisories/GHSA-2xpq-xp6c-5mgj