Contao does not properly manage privileges for page and article fields

CVE-2025-57759 → 在 GitHub 查看 ↗ 在 CVE.org 查看 ↗ 在 NVD 查看 ↗

描述

Impact

Under certain conditions, back end users may be able to edit fields of pages and articles without having the necessary permissions.

Patches

Update to Contao 5.3.38 or 5.6.1.

Workarounds

None.

For more information

If you have any questions or comments about this advisory, open an issue in contao/contao.

基本信息

类型
reviewed
严重度
medium
GitHub 上的公告
打开公告 ↗
仓库公告
打开仓库公告 ↗
源代码
浏览源码 ↗
公开(公告)
2025-08-28 14:58:22 UTC
更新时间
2025-08-28 18:52:02 UTC
GitHub 审核
2025-08-28 14:58:22 UTC
NVD 公开
2025-08-28

EPSS Score

Score Percentile
0.04% 11.42%

CVSS Scores

Base score Version Severity Vector
4.3 3.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N 点击展开
攻击向量 (AV:N)
经互联网或企业内可路由网段即可从远端触达,攻击者不必出现在设备旁。
攻击复杂度 (AC:L)
前置条件清晰,成功路径稳定,不依赖罕见竞态或苛刻环境。
权限要求 (PR:L)
一般用户权限即可,不必是管理员或 root。
用户交互 (UI:N)
无需受害者点击链接、放行宏或安装软件,攻击链可自动走完。
作用域 (S:U)
破坏局限在脆弱组件原本的安全权限与信任域之内。
机密性影响 (C:N)
几乎谈不上实质性的敏感数据外泄。
完整性影响 (I:L)
能改局部记录或配置,但尚不致让整站/整库数据整体不可信。
可用性影响 (A:N)
不至于造成业务意义上的长时间停摆或灾难性性能崩塌。

Identifiers

Type Value
GHSA GHSA-qqfq-7cpp-hcqj ↗
CVE CVE-2025-57759 ↗

CWEs

CWE id Name
CWE-269 Improper Privilege Management

Credits

  • lukasbableck (reporter)

Affected packages (4)

Vulnerable version ranges and first patched releases as published by GitHub.

Ecosystem Package Vulnerable range First patched Vulnerable functions
composer contao/core-bundle >= 5.3.0, < 5.3.38 5.3.38
composer contao/core-bundle >= 5.4.0-RC1, < 5.6.1 5.6.1
composer contao/contao >= 5.3.0, < 5.3.38 5.3.38
composer contao/contao >= 5.4.0-RC1, < 5.6.1 5.6.1

References

cvelogic Threat Intelligence