Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Contao (CVE-2024-28191)

Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-74 Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
09/04/2024
Última modificación:
17/01/2025

Descripción

Contao es un sistema de gestión de contenidos de código abierto. A partir de la versión 4.0.0 y antes de la versión 4.13.40 y 5.3.4, es posible inyectar etiquetas de inserción en formularios de interfaz si la salida está estructurada de una manera muy específica. Las versiones 4.13.40 y 5.3.4 de Contao tienen un parche para este problema. Como workaround, no genere datos de usuario desde formularios de interfaz uno al lado del otro, sepárelos siempre con al menos un carácter.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:contao:contao:*:*:*:*:*:*:*:* 4.0.0 (incluyendo) 4.13.40 (excluyendo)
cpe:2.3:a:contao:contao:*:*:*:*:*:*:*:* 5.0.0 (incluyendo) 5.3.4 (excluyendo)