バックエンドでHTML属性を経由したクロスサイトスクリプティング

日付: 2021年8月11日
CVE ID: CVE-2021-35955

説明

バックエンドで信頼できないユーザーが悪意のあるコードをHTMLの属性に投入することが可能です。このコードは要素のプレビュー(バックエンド)とウェブサイト(フロントエンド)の両方で実行されます。

HTMLの項目(例えば、TInyMCE)を修正できる権限を持った、信頼できないバックエンドのユーザーが存在する場合だけ影響があります。

この問題を報告していただいたSolar Security Research TeamのMikhail Khramenkov氏に感謝します。

影響のあるバージョン

  • Contao 4.0
  • Contao 4.1
  • Contao 4.2
  • Contao 4.3
  • Contao 4.4から4.4.55まで
  • Contao 4.5
  • Contao 4.6
  • Contao 4.7
  • Contao 4.8
  • Contao 4.9からContao 4.9.17まで
  • Contao 4.10
  • Contao 4.11から4.11.6まで

推奨する解決方法

Contao 4.4.56、4.9.18、4.11.7に更新してください。

回避方法

信頼できないバックエンドのユーザーにHTMLを許可する項目のアクセスを禁止するか、これらのユーザーを無効にしてください。

さらに詳しい情報

https://github.com/contao/contao/security/advisories/GHSA-hr3h-x6gq-rqcp

戻る