Remember-Me-Token werden nach einer Passwortänderung nicht gelöscht

Datum: 09.04.2024
CVE-ID: CVE-2024-30262

Wenn ein Frontend-Mitglied sein Passwort ändert, werden die dazugehörigen Remember-Me-Token nicht gelöscht.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.39

Empfohlene Lösung

Update auf Contao 4.13.40.

Workaround

Deaktiviere "Autologin erlauben" im Login-Modul.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-r4r6-j2j3-7pp5