漏洞标题
Contao的BBCode净化器功能不足
漏洞描述信息
Contao是一个开源的内容管理系统。从版本2.0.0开始,但在4.13.40和5.3.4版本之前,可以通过评论中的BBCode注入CSS样式。只有当BBCode启用时,安装才会受到影响。Contao的4.13.40和5.3.4版本已经对此问题进行了修补。作为临时解决方案,可以禁用评论中的BBCode。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Contao has insufficient BBCode sanitizer
漏洞描述信息
Contao is an open source content management system. Starting in version 2.0.0 and prior to versions 4.13.40 and 5.3.4, it is possible to inject CSS styles via BBCode in comments. Installations are only affected if BBCode is enabled. Contao versions 4.13.40 and 5.3.4 have a patch for this issue. As a workaround, disable BBCode for comments.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
漏洞类别
输出中的特殊元素转义处理不恰当(注入)
漏洞标题
Contao 安全漏洞
漏洞描述信息
Contao是一套采用PHP开发的开源内容管理系统(CMS)。该系统支持搜索引擎、权限管理和CSS框架等。 Contao 4.13.40版本之前的4.x版本和5.3.4版本之前的5.x版本存在安全漏洞,该漏洞源于可以通过注释中的BBCode注入CSS样式。
CVSS信息
N/A
漏洞类别
其他