Session-Cookie-Disclosure im Crawler

Datum: 09.04.2024
CVE-ID: CVE-2024-28235

Wenn der Crawler so eingestellt ist, dass er geschützte Seiten crawlt, sendet er den Cookie-Header an externe URLs.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.39
Contao 5.0
Contao 5.1
Contao 5.2
Contao 5.3 bis 5.3.3

Empfohlene Lösung

Update auf Contao 4.13.40 oder 5.3.4.

Workaround

Deaktiviere das Crawlen geschützter Seiten.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-9jh5-qf84-x6pr