Contao模板闭包中的远程代码执行漏洞(CVE-2025-65960)技术分析

本文详细分析了Contao内容管理系统中的一处安全漏洞(CVE-2025-65960)。该漏洞允许拥有模板闭包精确控制权限的后台用户执行无必需参数的任意PHP函数,影响多个Contao版本,并提供了升级方案和手动修复方法。

Contao模板闭包中的远程代码执行漏洞

作者:Leo Feyer 日期:2025年11月25日 CVE编号:CVE-2025-65960

漏洞描述

拥有对模板闭包内容精确控制权限的后台用户可以执行无必需参数的任意PHP函数。

受影响版本

  • Contao 4.0
  • Contao 4.1
  • Contao 4.2
  • Contao 4.3
  • Contao 4.4
  • Contao 4.5
  • Contao 4.6
  • Contao 4.7
  • Contao 4.8
  • Contao 4.9
  • Contao 4.10
  • Contao 4.11
  • Contao 4.12
  • Contao 4.13(至4.13.56版本)
  • Contao 5.0
  • Contao 5.1
  • Contao 5.2
  • Contao 5.3(至5.3.41版本)
  • Contao 5.4
  • Contao 5.5
  • Contao 5.6(至5.6.4版本)

解决方案

推荐解决方案

升级至以下安全版本之一:

  • Contao 4.13.57
  • Contao 5.3.42
  • Contao 5.6.5

临时缓解措施

手动修补Contao\Template::once()方法。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次