フォーム生成を経由した挿入タグ注入

日付: 2024年4月9日
CVE ID: CVE-2024-28191

提出したフォームのデータを特定の方法でページに表示する場合、フォーム生成を経由して挿入タグの注入が可能です。

影響のあるバージョン

  • Contao 4.0
  • Contao 4.1
  • Contao 4.2
  • Contao 4.3
  • Contao 4.4
  • Contao 4.5
  • Contao 4.6
  • Contao 4.7
  • Contao 4.8
  • Contao 4.9
  • Contao 4.10
  • Contao 4.11
  • Contao 4.12
  • Contao 4.13から4.13.39まで
  • Contao 5.0
  • Contao 5.1
  • Contao 5.2
  • Contao 5.3から5.3.3まで

推奨する解決方法

Contao 4.13.40または5.3.4に更新してください。

回避方法

提出されたフォームのデータをウェブサイトに出力しないでください。

さらに詳しい情報

https://github.com/contao/contao/security/advisories/GHSA-747v-52c4-8vj8

Insert tag injection via the form generatorの翻訳です。

戻る