Sicherheitshinweise
Hier findest du eine Übersicht der Sicherheitslücken, die in Contao bereits gefunden und behoben wurden. Wenn du glaubst ein Sicherheitsproblem in Contao gefunden zu haben, melde es bitte gemäß unserer Sicherheitsrichtlinie.
Insert-Tag-Injection über den Formulargenerator
von Leo Feyer
Datum: 09.04.2024
CVE-ID: CVE-2024-28191
Es ist möglich, Insert-Tags über den Formulargenerator einzuschleusen, wenn die übermittelten Formulardaten auf eine bestimmte Weise auf der Seite ausgegeben werden.
Betroffene Versionen
Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.39
Contao 5.0
Contao 5.1
Contao 5.2
Contao 5.3 bis 5.3.3
Empfohlene Lösung
Update auf Contao 4.13.40 oder 5.3.4.
Workaround
Gib die übermittelten Formulardaten nicht auf der Webseite aus.
Mehr Informationen
https://github.com/contao/contao/security/advisories/GHSA-747v-52c4-8vj8