Vulnerabilidad en las etiquetas de inserción en el back-end de Contao (CVE-2021-37626)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
11/08/2021
Última modificación:
20/08/2021
Descripción
Contao es un CMS de código abierto que permite crear sitios y aplicaciones web escalables. En las versiones afectadas es posible cargar archivos PHP introduciendo etiquetas de inserción en el back-end de Contao. Las instalaciones sólo están afectadas si presentan usuarios de back end no confiables que tengan derechos para modificar los campos que se muestran en el front end. Actualice a Contao versiones 4.4.56, 4.9.18 o 4.11.7 para resolverlo. Si no puede actualizar, desactive el inicio de sesión para usuarios de back end no confiables
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:contao:contao:*:*:*:*:*:*:*:* | 4.4.0 (incluyendo) | 4.4.56 (excluyendo) |
| cpe:2.3:a:contao:contao:*:*:*:*:*:*:*:* | 4.9.0 (incluyendo) | 4.9.18 (excluyendo) |
| cpe:2.3:a:contao:contao:*:*:*:*:*:*:*:* | 4.11.0 (incluyendo) | 4.11.7 (excluyendo) |
| cpe:2.3:a:contao:contao:4.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:contao:contao:4.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:contao:contao:4.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:contao:contao:4.3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:contao:contao:4.5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:contao:contao:4.6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:contao:contao:4.7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:contao:contao:4.8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:contao:contao:4.10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página