PT-2024-22325 · Contao · Contao
Lowleofeyer
·
Publicado
2024-04-09
·
Atualizado
2025-01-17
·
CVE-2024-28191
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Contao 4.0.0 a 4.13.39
Versões do Contao 5.0.0 a 5.3.3
Descrição
A vulnerabilidade permite a injeção de tags em formulários do front-end se a saída for estruturada de uma maneira muito específica. É possível injetar tags de inserção por meio do gerador de formulários se os dados enviados forem exibidos na página de uma maneira específica.
Recomendações
Para as versões do Contao 4.0.0 a 4.13.39, atualize para o Contao 4.13.40.
Para as versões do Contao 5.0.0 a 5.3.3, atualize para o Contao 5.3.4.
Como solução temporária, não exiba os dados do usuário dos formulários do front-end lado a lado; separe-os sempre por pelo menos um caractere.
Não exiba os dados do formulário enviado no site.
Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Contao