Moritz Vondano

**Nome do software vulnerável e versões afetadas: Versões do Contao 4.0.0 a 4.4.55 Versões do Contao 4.0.0 a 4.9.17 Versões do Contao 4.0.0 a 4.11.6 Descrição: A vulnerabilidade permite a execução de scripts entre sites (XSS) no back-end por meio de atributos HTML em um campo HTML. Isso pode ser explorado por usuários não confiáveis que tenham direitos para modificar campos HTML, como aqueles que utilizam o TinyMCE. O código malicioso pode ser executado tanto na visualização do elemento no back-end quanto no site no front-end. Recomendações: Para as versões do Contao 4.0.0 a 4.4.55, atualize para o Contao 4.4.56. Para as versões do Contao 4.0.0 a 4.9.17, atualize para o Contao 4.9.18. Para as versões do Contao 4.0.0 a 4.11.6, atualize para o Contao 4.11.7. Como solução temporária, considere desativar todos os campos que permitem HTML para usuários não confiáveis do back-end ou desative o login desses usuários.