日付: 2021年6月23日
CVE ID: CVE-2021-35210

説明

バックエンドでシステムログを表示したときに実行されるコードを、tl_logテーブルに注入することが可能です。

影響のあるバージョン

• Contao 4.5
• Contao 4.6
• Contao 4.7
• Contao 4.8
• Contao 4.9からContao 4.9.15まで
• Contao 4.10
• Contao 4.11から4.11.4まで

推奨する解決方法

Contao 4.9.16または4.11.5に更新してください。

回避方法

バックエンドのシステムログモジュールをすべてのユーザー(特に管理者のユーザー)に無効にします。

さらに詳しい情報

https://github.com/contao/contao/security/advisories/GHSA-h58v-c6rf-g9f7

Cross site scripting in the system logの翻訳です。