Vulnerabilidad en los derechos en el back-end de Contao (CVE-2021-37627)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
11/08/2021
Última modificación:
20/08/2021
Descripción
Contao es un CMS de código abierto que permite la creación de sitios y aplicaciones web escalables. En las versiones afectadas es posible obtener derechos privilegiados en el back-end de Contao. Las instalaciones sólo están afectadas si tienen usuarios de back-end no confiables que tengan acceso al generador de formularios. Se recomienda a todos los usuarios que actualicen a Contao versiones 4.4.56, 4.9.18 o 4.11.7. Como solución, los usuarios pueden desactivar el generador de formularios o desactivar el inicio de sesión para usuarios de back end no confiables
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:contao:contao:*:*:*:*:*:*:*:* | 4.4.0 (incluyendo) | 4.4.56 (excluyendo) |
| cpe:2.3:a:contao:contao:*:*:*:*:*:*:*:* | 4.9.0 (incluyendo) | 4.9.18 (excluyendo) |
| cpe:2.3:a:contao:contao:*:*:*:*:*:*:*:* | 4.11.0 (incluyendo) | 4.11.7 (excluyendo) |
| cpe:2.3:a:contao:contao:4.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:contao:contao:4.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:contao:contao:4.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:contao:contao:4.3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:contao:contao:4.5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:contao:contao:4.6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:contao:contao:4.7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:contao:contao:4.8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:contao:contao:4.10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página