フォームでの挿入タグの注入

日付: 2020年9月24日
CVE ID: CVE-2020-25768

説明

フロントエンドのフォームに挿入タグを注入して、ページを表示する際に置き換えることが可能です。

影響のあるバージョン

  • Contao 4.0
  • Contao 4.1
  • Contao 4.2
  • Contao 4.3
  • Contao 4.4から4.4.51まで
  • Contao 4.5
  • Contao 4.6
  • Contao 4.7
  • Contao 4.8
  • Contao 4.9からContao 4.9.5まで
  • Contao 4.10からContao 4.10.0まで

推奨する解決方法

Contao 4.4.52、4.9.6、4.10.1に更新してください。

回避方法

フロントエンドのログインを禁止して、filedname[]といった配列のキーを持ったフォームの項目を使用しない様にします。


Insert tag injection in formsの翻訳です。

戻る