フォームでの挿入タグの注入

日付: 2020年9月24日
CVE ID: CVE-2020-25768

説明

フロントエンドのフォームに挿入タグを注入して、ページを表示する際に置き換えることが可能です。

影響のあるバージョン

Contao 4.0
Contao 4.1
Contao 4.2
Contao 4.3
Contao 4.4から4.4.51まで
Contao 4.5
Contao 4.6
Contao 4.7
Contao 4.8
Contao 4.9からContao 4.9.5まで
Contao 4.10からContao 4.10.0まで

推奨する解決方法

Contao 4.4.52、4.9.6、4.10.1に更新してください。

回避方法

フロントエンドのログインを禁止して、filedname[]といった配列のキーを持ったフォームの項目を使用しない様にします。


Insert tag injection in formsの翻訳です。

戻る