Contao does not properly manage privileges for page and article fields

CVE-2025-57759 → 在 GitHub 檢視 ↗ 在 CVE.org 檢視 ↗ 在 NVD 檢視 ↗

描述

Impact

Under certain conditions, back end users may be able to edit fields of pages and articles without having the necessary permissions.

Patches

Update to Contao 5.3.38 or 5.6.1.

Workarounds

None.

For more information

If you have any questions or comments about this advisory, open an issue in contao/contao.

基本資訊

類型
reviewed
嚴重度
medium
GitHub 上的公告
開啟公告 ↗
儲存庫公告
開啟儲存庫公告 ↗
原始碼
瀏覽原始碼 ↗
公開(公告)
2025-08-28 14:58:22 UTC
更新時間
2025-08-28 18:52:02 UTC
GitHub 審核
2025-08-28 14:58:22 UTC
NVD 公開
2025-08-28

EPSS Score

Score Percentile
0.04% 11.42%

CVSS Scores

Base score Version Severity Vector
4.3 3.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N 點擊展開
攻擊向量 (AV:N)
可經網際網路或企業內可路由網段從遠端觸達,攻擊者不必在裝置旁邊。
攻擊複雜度 (AC:L)
前置條件清楚,成功路徑穩定,不必仰賴罕見競態或極端環境。
權限需求 (PR:L)
一般使用者權限即可,不必是管理員或 root。
使用者互動 (UI:N)
不必受害者點連結、放行巨集或安裝軟體,攻擊鏈可自動走完。
作用域 (S:U)
破壞局限在脆弱元件原本的安全權限與信任域之內。
機密性影響 (C:N)
幾乎談不上實質的敏感資料外洩。
完整性影響 (I:L)
能改局部紀錄或設定,但尚不致讓整站/整庫資料整體不可信。
可用性影響 (A:N)
不至於造成業務意義上的長時間停擺或災難性效能崩塌。

Identifiers

Type Value
GHSA GHSA-qqfq-7cpp-hcqj ↗
CVE CVE-2025-57759 ↗

CWEs

CWE id Name
CWE-269 Improper Privilege Management

Credits

  • lukasbableck (reporter)

Affected packages (4)

Vulnerable version ranges and first patched releases as published by GitHub.

Ecosystem Package Vulnerable range First patched Vulnerable functions
composer contao/core-bundle >= 5.3.0, < 5.3.38 5.3.38
composer contao/core-bundle >= 5.4.0-RC1, < 5.6.1 5.6.1
composer contao/contao >= 5.3.0, < 5.3.38 5.3.38
composer contao/contao >= 5.4.0-RC1, < 5.6.1 5.6.1

References

cvelogic Threat Intelligence