Insert-Tag-Injection in Canonical URLs

Datum: 17.09.2024
CVE-ID: CVE-2024-45612

Es ist möglich, Insert-Tags in Canonical URLs im Frontend einzuschleusen, die bei der Ausgabe der Seite ersetzt werden.

Betroffene Versionen

Contao 4.13 bis 4.13.48
Contao 5.0
Contao 5.1
Contao 5.2
Contao 5.3 bis 5.3.14
Contao 5.4 bis 5.4.2

Empfohlene Lösung

Update auf Contao 4.13.49, 5.3.15 oder 5.4.3.

Workaround

Deaktiviere Canonical URLs in den Einstellungen des Website-Startpunkts.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-2xpq-xp6c-5mgj