Sicherheitshinweise

Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.

Insert-Tag-Injection über den Formulargenerator

von Leo Feyer

Datum: 09.04.2024
CVE-ID: CVE-2024-28191

Es ist möglich, Insert-Tags über den Formulargenerator einzuschleusen, wenn die übermittelten Formulardaten auf eine bestimmte Weise auf der Seite ausgegeben werden.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.39
Contao 5.0
Contao 5.1
Contao 5.2
Contao 5.3 bis 5.3.3

Empfohlene Lösung

Update auf Contao 4.13.40 oder 5.3.4.

Workaround

Gib die übermittelten Formulardaten nicht auf der Webseite aus.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-747v-52c4-8vj8

Alle Sicherheitshinweise anzeigen

Abonnieren