Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la etiqueta canónica en Contao (CVE-2022-24899)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
06/05/2022
Última modificación:
13/05/2022

Descripción

Contao es un potente CMS de código abierto que permite crear sitios web profesionales y aplicaciones web escalables. En las versiones de Contao anteriores a 4.13.3 es posible inyectar código en la etiqueta canónica. Como medida de mitigación, los usuarios pueden deshabilitar las etiquetas canónicas en la configuración de la página root

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:contao:contao:*:*:*:*:*:*:*:* 4.13.0 (incluyendo) 4.13.2 (incluyendo)