Contao是一套采用PHP开发的开源内容管理系统(CMS)。该系统支持搜索引擎、权限管理和CSS框架等。 Contao (原为TYPOlight) 2.11.0及之前版本中的main.php中存在多个跨站请求伪造漏洞(CSRF)。远程攻击者可利用这些漏洞劫持(1)借助在user模块中的删除操作删除用户、(2)借助在news模块中的删除操作删除新闻,或(3)借助在newsletters模块中的删除操作删除通讯请求的管理员身份认证。
Contao是一套采用PHP开发的开源内容管理系统(CMS)。该系统支持搜索引擎、权限管理和CSS框架等。 Contao (原为TYPOlight) 2.11.0及之前版本中的main.php中存在多个跨站请求伪造漏洞(CSRF)。远程攻击者可利用这些漏洞劫持(1)借助在user模块中的删除操作删除用户、(2)借助在news模块中的删除操作删除新闻,或(3)借助在newsletters模块中的删除操作删除通讯请求的管理员身份认证。