日付: 2024年4月9日
CVE ID: CVE-2024-28190

ファイルをアップロードするときにユーザーは悪意のあるコードをファイル名に挿入できて、バックエンドのツールチップとポップアップで実行されます。

影響のあるバージョン

• Contao 4.0
• Contao 4.1
• Contao 4.2
• Contao 4.3
• Contao 4.4
• Contao 4.5
• Contao 4.6
• Contao 4.7
• Contao 4.8
• Contao 4.9
• Contao 4.10
• Contao 4.11
• Contao 4.12
• Contao 4.13から4.13.39まで
• Contao 5.0
• Contao 5.1
• Contao 5.2
• Contao 5.3から5.3.3まで

推奨する解決方法

Contao 4.13.40または5.3.4に更新してください。

回避方法

信用できないユーザーのアップロードを無効にしてください。

さらに詳しい情報

https://github.com/contao/contao/security/advisories/GHSA-v24p-7p4j-qvvf

Cross site scripting in the file managerの翻訳です。