Remote Code Execution in Template-Closures

Datum: 25.11.2025
CVE-ID: CVE-2025-65960

Backend-Benutzer mit präziser Kontrolle über den Inhalt von Template-Closures können beliebige PHP-Funktionen ausführen, die keine erforderlichen Parameter haben.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.56
Contao 5.0
Contao 5.1
Contao 5.2
Contao 5.3 bis 5.3.41
Contao 5.4
Contao 5.5
Contao 5.6 bis 5.6.4

Empfohlene Lösung

Update auf Contao 4.13.57, 5.3.42 oder 5.6.5.

Workaround

Patche die Methode Contao\Template::once() manuell.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-98vj-mm79-v77r