Insert-Tag-Injection über den Formulargenerator

Datum: 09.04.2024
CVE-ID: CVE-2024-28191

Es ist möglich, Insert-Tags über den Formulargenerator einzuschleusen, wenn die übermittelten Formulardaten auf eine bestimmte Weise auf der Seite ausgegeben werden.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.39
Contao 5.0
Contao 5.1
Contao 5.2
Contao 5.3 bis 5.3.3

Empfohlene Lösung

Update auf Contao 4.13.40 oder 5.3.4.

Workaround

Gib die übermittelten Formulardaten nicht auf der Webseite aus.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-747v-52c4-8vj8