単位を備えたウィジェットのクロスサイトスクリプティング
日付: 2023年7月25日
CVE ID: CVE-2023-36806
単位を備えたウィジェットに認証済みのユーザーは、要素のプレビュー(バックエンド)とウェブサイト(フロントエンド)の両方で実行できる悪意のあるコードを注入できます。
この脆弱性の報告していただいたusd AGのChristian Pöschl氏とFabian Brenner氏に感謝します。
影響のあるバージョン
- Contao 4.0
- Contao 4.1
- Contao 4.2
- Contao 4.3
- Contao 4.4
- Contao 4.5
- Contao 4.6
- Contao 4.7
- Contao 4.8
- Contao 4.9からContao 4.9.41まで
- Contao 4.10
- Contao 4.11
- Contao 4.12
- Contao 4.13から4.13.27まで
- Contao 5.0
- Contao 5.1から5.1.9まで
推奨する解決方法
Contao 4.9.42、4.3.18、5.1.10に更新してください。
さらに詳しい情報
https://github.com/contao/contao/security/advisories/GHSA-4gpr-p634-922x