Vulnerabilidad en Contao (CVE-2024-28234)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
09/04/2024
Última modificación:
02/01/2025
Descripción
Contao es un sistema de gestión de contenidos de código abierto. A partir de la versión 2.0.0 y anteriores a las versiones 4.13.40 y 5.3.4, es posible inyectar estilos CSS a través de BBCode en los comentarios. Las instalaciones sólo se ven afectadas si BBCode está habilitado. Las versiones 4.13.40 y 5.3.4 de Contao tienen un parche para este problema. Como workaround, desactive BBCode para comentarios.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:contao:contao:*:*:*:*:*:*:*:* | 2.0 (incluyendo) | 4.13.40 (excluyendo) |
| cpe:2.3:a:contao:contao:*:*:*:*:*:*:*:* | 5.0.0 (incluyendo) | 5.3.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://contao.org/en/security-advisories/insufficient-bbcode-sanitization
- https://github.com/contao/contao/commit/55b995d8d35da0d36bc6a22c53fe6423ab0c4ae2
- https://github.com/contao/contao/commit/6d42e667177c972ae7c219645593c262d7764ce2
- https://github.com/contao/contao/security/advisories/GHSA-j55w-hjpj-825g
- https://contao.org/en/security-advisories/insufficient-bbcode-sanitization
- https://github.com/contao/contao/commit/55b995d8d35da0d36bc6a22c53fe6423ab0c4ae2
- https://github.com/contao/contao/commit/6d42e667177c972ae7c219645593c262d7764ce2
- https://github.com/contao/contao/security/advisories/GHSA-j55w-hjpj-825g