von Leo Feyer

Insert-Tag-Injection in Formularen

Datum: 24.09.2020
CVE-ID: CVE-2020-25768

Beschreibung

Es ist möglich, Insert-Tags in Formulare im Frontend einzuschleusen, die bei der Ausgabe der Seite ersetzt werden.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.51
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9 bis 4.9.5
Contao 4.10 bis 4.10.0

Empfohlene Lösung

Update auf Contao 4.4.52, 4.9.6 oder 4.10.1.

Workaround

Deaktiviere das Login-Formular im Frontend und verwende keine Formularfelder mit Array-Keys wie z.B. fieldname[].