Ukazała się nowa wersja Contao oznaczona numerem 3.5.35. To wydanie naprawia podatność na atak XSS w logach systemu w backendzie (CVE-2018-10125).
CVE-2018-10125
Za pomocą zmanipulowanego żądania strony atakujący może wszczepić skrypt, który zostanie wykonany w momencie, gdy użytkownik zaloguje się do backendu i otworzy logi systemu. Co ważne, atakujący nie musi być zalogowany żeby przeprowadzić atak.
Zalecamy aktualizację systemu!