漏洞详情
CVE ID: CVE-2025-65961
GHSA ID: GHSA-68q5-78xp-cwwc
严重程度: 低危 (CVSS评分3.3)
受影响版本
- Contao 4.0.0 至 4.13.56
- Contao 5.0.0-RC1 至 5.3.41
- Contao 5.4.0-RC1 至 5.6.4
漏洞影响
攻击者能够向模板输出中注入代码,这些代码将在前端和后端的浏览器中执行。
修复方案
官方补丁
更新到以下已修复版本:
- Contao 4.13.57
- Contao 5.3.42
- Contao 5.6.5
临时解决方案
- 停止使用受影响的模板
- 手动修补受影响的模板
技术细节
CVSS v3.1 基准指标:
- 攻击向量:网络(Network)
- 攻击复杂度:高(High)
- 所需权限:高(High)
- 用户交互:无(None)
- 作用范围:未改变(Unchanged)
- 机密性影响:低(Low)
- 完整性影响:低(Low)
- 可用性影响:无(None)
弱点分类:CWE-87 - 替代XSS语法的不当中和
参考资源
致谢
感谢ausi和m-vo发现此漏洞。