Rechteausweitung mit dem Formulargenerator

Datum: 11.08.2021
CVE-ID: CVE-2021-37627

Nicht vertrauenswürdige Benutzer können mit dem Formulargenerator Administratorrechte erhalten.

Installationen sind nur betroffen, wenn es nicht vertrauenswürdige Backend-Benutzer mit Zugriff auf den Formulargenerator gibt.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4 bis 4.4.55
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9 bis 4.9.17
Contao 4.10
Contao 4.11 bis 4.11.6

Empfohlene Lösung

Update auf Contao 4.4.56, 4.9.18 oder 4.11.7.

Workaround

Deaktiviere den Formulargenerator oder deaktiviere die Anmeldung für nicht vertrauenswürdige Benutzer.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-hq5m-mqmx-fw6m