システムログのクロスサイトスクリプティング
日付: 2021年6月23日
CVE ID: CVE-2021-35210
説明
バックエンドでシステムログを表示したときに実行されるコードを、tl_log
テーブルに注入することが可能です。
影響のあるバージョン
- Contao 4.5
- Contao 4.6
- Contao 4.7
- Contao 4.8
- Contao 4.9からContao 4.9.15まで
- Contao 4.10
- Contao 4.11から4.11.4まで
推奨する解決方法
Contao 4.9.16または4.11.5に更新してください。
回避方法
バックエンドのシステムログモジュールをすべてのユーザー(特に管理者のユーザー)に無効にします。
さらに詳しい情報
https://github.com/contao/contao/security/advisories/GHSA-h58v-c6rf-g9f7