Unzureichende BBCode-Bereinigung

Datum: 09.04.2024
CVE-ID: CVE-2024-28234

Wenn BBCode für Kommentare aktiviert ist, können Benutzer damit CSS-Stile einschleusen.

Betroffene Versionen

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9
Contao 4.10
Contao 4.11
Contao 4.12
Contao 4.13 bis 4.13.39
Contao 5.0
Contao 5.1
Contao 5.2
Contao 5.3 bis 5.3.3

Empfohlene Lösung

Update auf Contao 4.13.40 oder 5.3.4.

Workaround

Deaktiviere BBCode für Kommentare.

Mehr Informationen

https://github.com/contao/contao/security/advisories/GHSA-j55w-hjpj-825g