Vulnerabilidad en Contao (CVE-2024-28191)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
09/04/2024
Última modificación:
17/01/2025
Descripción
Contao es un sistema de gestión de contenidos de código abierto. A partir de la versión 4.0.0 y antes de la versión 4.13.40 y 5.3.4, es posible inyectar etiquetas de inserción en formularios de interfaz si la salida está estructurada de una manera muy específica. Las versiones 4.13.40 y 5.3.4 de Contao tienen un parche para este problema. Como workaround, no genere datos de usuario desde formularios de interfaz uno al lado del otro, sepárelos siempre con al menos un carácter.
Impacto
Puntuación base 3.x
3.10
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:contao:contao:*:*:*:*:*:*:*:* | 4.0.0 (incluyendo) | 4.13.40 (excluyendo) |
| cpe:2.3:a:contao:contao:*:*:*:*:*:*:*:* | 5.0.0 (incluyendo) | 5.3.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://contao.org/en/security-advisories/insert-tag-injection-via-the-form-generator
- https://github.com/contao/contao/commit/388859dcf110ca70e0fae68a2a5579ab6a702919
- https://github.com/contao/contao/commit/474a2fc25f1d84d786aba8c6d234af99e64d016b
- https://github.com/contao/contao/security/advisories/GHSA-747v-52c4-8vj8
- https://contao.org/en/security-advisories/insert-tag-injection-via-the-form-generator
- https://github.com/contao/contao/commit/388859dcf110ca70e0fae68a2a5579ab6a702919
- https://github.com/contao/contao/commit/474a2fc25f1d84d786aba8c6d234af99e64d016b
- https://github.com/contao/contao/security/advisories/GHSA-747v-52c4-8vj8