Bytehead

**Nome do software vulnerável e versões afetadas** Versões do Contao anteriores à 4.13.40 **Descrição** O Contao é um sistema de gerenciamento de conteúdo de código aberto. Quando um usuário do front-end altera sua senha nos dados pessoais ou no módulo de senha perdida, os tokens de “lembrar-me” correspondentes não são removidos. Se alguém comprometer uma conta e conseguir obter um token “lembrar-me”, alterar a senha não seria suficiente para recuperar o controle sobre a conta. **Recomendações** Atualize para a versão 4.13.40 do Contao para resolver o problema. Como solução temporária, desative a opção “Permitir login automático” no módulo de login.