Contao on 办公AI智能小助手 https://blog.qife122.com/tags/contao/ Recent content in Contao on 办公AI智能小助手 Hugo zh-cn qife Sat, 03 Jan 2026 18:05:58 +0800 Contao模板闭包中的远程代码执行漏洞(CVE-2025-65960)技术分析 https://blog.qife122.com/p/contao%E6%A8%A1%E6%9D%BF%E9%97%AD%E5%8C%85%E4%B8%AD%E7%9A%84%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9Ecve-2025-65960%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ Sat, 03 Jan 2026 18:05:58 +0800 https://blog.qife122.com/p/contao%E6%A8%A1%E6%9D%BF%E9%97%AD%E5%8C%85%E4%B8%AD%E7%9A%84%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9Ecve-2025-65960%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ <h1 id="contao模板闭包中的远程代码执行漏洞">Contao模板闭包中的远程代码执行漏洞</h1> <p><strong>作者:Leo Feyer</strong> <strong>日期:2025年11月25日</strong> <strong>CVE编号:CVE-2025-65960</strong></p> <h2 id="漏洞描述">漏洞描述</h2> <p>拥有对模板闭包内容精确控制权限的后台用户可以执行<strong>无必需参数</strong>的任意PHP函数。</p> Contao模板闭包远程代码执行漏洞(CVE-2025-65960)技术分析 https://blog.qife122.com/p/contao%E6%A8%A1%E6%9D%BF%E9%97%AD%E5%8C%85%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9Ecve-2025-65960%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ Mon, 29 Dec 2025 12:31:54 +0800 https://blog.qife122.com/p/contao%E6%A8%A1%E6%9D%BF%E9%97%AD%E5%8C%85%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9Ecve-2025-65960%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ <h1 id="contao模板闭包远程代码执行漏洞cve-2025-65960">Contao模板闭包远程代码执行漏洞(CVE-2025-65960)</h1> <h2 id="漏洞详情">漏洞详情</h2> <h3 id="受影响的软件包">受影响的软件包</h3> <ul> <li><strong>包管理器</strong>: Composer</li> <li><strong>软件包</strong>: <code>contao/core-bundle</code></li> </ul> <h3 id="受影响版本">受影响版本</h3> <ul> <li><code>&gt;= 4.0.0, &lt; 4.13.57</code></li> <li><code>&gt;= 5.0.0-RC1, &lt; 5.3.42</code></li> <li><code>&gt;= 5.0.4-RC1, &lt; 5.6.5</code></li> </ul> <h3 id="已修复版本">已修复版本</h3> <ul> <li><code>4.13.57</code></li> <li><code>5.3.42</code></li> <li><code>5.6.5</code></li> </ul> <h2 id="技术影响">技术影响</h2> <p>具有对模板闭包内容精确控制权限的后台用户,可以执行没有必需参数的任意PHP函数。</p> Contao 模板跨站脚本漏洞 (CVE-2025-65961) 详情剖析 https://blog.qife122.com/p/contao-%E6%A8%A1%E6%9D%BF%E8%B7%A8%E7%AB%99%E8%84%9A%E6%9C%AC%E6%BC%8F%E6%B4%9E-cve-2025-65961-%E8%AF%A6%E6%83%85%E5%89%96%E6%9E%90/ Mon, 08 Dec 2025 01:56:49 +0800 https://blog.qife122.com/p/contao-%E6%A8%A1%E6%9D%BF%E8%B7%A8%E7%AB%99%E8%84%9A%E6%9C%AC%E6%BC%8F%E6%B4%9E-cve-2025-65961-%E8%AF%A6%E6%83%85%E5%89%96%E6%9E%90/ <h3 id="漏洞详情">漏洞详情</h3> <p><strong>CVE ID:</strong> CVE-2025-65961 <strong>GHSA ID:</strong> GHSA-68q5-78xp-cwwc <strong>漏洞名称:</strong> Contao 模板中存在跨站脚本漏洞 <strong>严重等级:</strong> 低 (CVSS 3.1 分数: 3.3)</p> <h3 id="影响">影响</h3> <p>攻击者可以向模板输出中注入代码,这些代码将在前端和后端的浏览器中执行。</p> Contao模板闭包远程代码执行漏洞深度解析 https://blog.qife122.com/p/contao%E6%A8%A1%E6%9D%BF%E9%97%AD%E5%8C%85%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ Thu, 04 Dec 2025 02:22:54 +0800 https://blog.qife122.com/p/contao%E6%A8%A1%E6%9D%BF%E9%97%AD%E5%8C%85%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ <h3 id="漏洞详情">漏洞详情</h3> <p><strong>CVE ID:</strong> CVE-2025-65960 <strong>GHSA ID:</strong> GHSA-98vj-mm79-v77r <strong>严重等级:</strong> 中等 (CVSS 3.1 得分:6.6)</p> <h3 id="受影响版本">受影响版本</h3> <ul> <li><strong>Composer包:</strong> <code>contao/core-bundle</code></li> <li><strong>受影响版本:</strong> <ul> <li> <blockquote> <p>= 4.0.0, &lt; 4.13.57</p> </blockquote> </li> <li> <blockquote> <p>= 5.0.0-RC1, &lt; 5.3.42</p> </blockquote> </li> <li> <blockquote> <p>= 5.4.0-RC1, &lt; 5.6.5</p> </blockquote> </li> </ul> </li> <li><strong>已修补版本:</strong> <ul> <li>4.13.57</li> <li>5.3.42</li> <li>5.6.5</li> </ul> </li> </ul> <h3 id="影响分析">影响分析</h3> <p>能够精确控制模板闭包内容的后台用户,可以执行那些没有必需参数的任意PHP函数。</p> Contao模板中存在跨站脚本漏洞(CVE-2025-65961)技术分析 https://blog.qife122.com/p/contao%E6%A8%A1%E6%9D%BF%E4%B8%AD%E5%AD%98%E5%9C%A8%E8%B7%A8%E7%AB%99%E8%84%9A%E6%9C%AC%E6%BC%8F%E6%B4%9Ecve-2025-65961%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ Wed, 03 Dec 2025 13:43:02 +0800 https://blog.qife122.com/p/contao%E6%A8%A1%E6%9D%BF%E4%B8%AD%E5%AD%98%E5%9C%A8%E8%B7%A8%E7%AB%99%E8%84%9A%E6%9C%AC%E6%BC%8F%E6%B4%9Ecve-2025-65961%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ <h2 id="漏洞详情">漏洞详情</h2> <h3 id="基本信息">基本信息</h3> <ul> <li><strong>CVE ID</strong>: CVE-2025-65961</li> <li><strong>GHSA ID</strong>: GHSA-68q5-78xp-cwwc</li> <li><strong>严重程度</strong>: 低风险 (CVSS 3.3)</li> <li><strong>漏洞类型</strong>: 跨站脚本(XSS)</li> <li><strong>受影响组件</strong>: Contao核心包 (contao/core-bundle)</li> </ul> <h3 id="受影响版本">受影响版本</h3> <table> <thead> <tr> <th>主要版本</th> <th>受影响范围</th> <th>已修复版本</th> </tr> </thead> <tbody> <tr> <td>Contao 4.x</td> <td>&gt;=4.0.0, &lt;4.13.57</td> <td>4.13.57</td> </tr> <tr> <td>Contao 5.x</td> <td>&gt;=5.0.0-RC1, &lt;5.3.42</td> <td>5.3.42</td> </tr> <tr> <td>Contao 5.4+</td> <td>&gt;=5.4.0-RC1, &lt;5.6.5</td> <td>5.6.5</td> </tr> </tbody> </table> <h3 id="技术影响">技术影响</h3> <p>该漏洞允许攻击者将恶意代码注入模板输出,这些代码将在前端和后端的浏览器中执行。这意味着攻击者可以在用户访问受影响页面时执行任意JavaScript代码。</p>