von Leo Feyer
Insert-Tag-Injection in Formularen
Datum: 24.09.2020
CVE-ID: CVE-2020-25768
Beschreibung
Es ist möglich, Insert-Tags in Formulare im Frontend einzuschleusen, die bei der Ausgabe der Seite ersetzt werden.
Betroffene Versionen
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.51
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9 bis 4.9.5
Contao 4.10 bis 4.10.0
Empfohlene Lösung
Update auf Contao 4.4.52, 4.9.6 oder 4.10.1.
Workaround
Deaktiviere das Login-Formular im Frontend und verwende keine Formularfelder mit Array-Keys wie z.B. fieldname[]
.