フォームでの挿入タグの注入
日付: 2020年9月24日
CVE ID: CVE-2020-25768
説明
フロントエンドのフォームに挿入タグを注入して、ページを表示する際に置き換えることが可能です。
影響のあるバージョン
- Contao 4.0
- Contao 4.1
- Contao 4.2
- Contao 4.3
- Contao 4.4から4.4.51まで
- Contao 4.5
- Contao 4.6
- Contao 4.7
- Contao 4.8
- Contao 4.9からContao 4.9.5まで
- Contao 4.10からContao 4.10.0まで
推奨する解決方法
Contao 4.4.52、4.9.6、4.10.1に更新してください。
回避方法
フロントエンドのログインを禁止して、filedname[]
といった配列のキーを持ったフォームの項目を使用しない様にします。