Plataforma
php
Componente
contao/core-bundle
Corregido en
5.3.1
5.4.1
5.3.38
La vulnerabilidad CVE-2025-57759 afecta a Contao Core Bundle, permitiendo a usuarios del backend editar campos de páginas y artículos sin la autorización necesaria. Esta falla de permisos puede comprometer la integridad de los contenidos del sitio web. Afecta a versiones de Contao Core Bundle menores o iguales a 5.3.9. Se recomienda actualizar a la versión 5.3.38 o 5.6.1 para mitigar el riesgo.
La principal consecuencia de esta vulnerabilidad es la posibilidad de que usuarios no autorizados modifiquen el contenido de páginas y artículos dentro del sistema Contao. Esto podría resultar en la alteración de información crítica, la inserción de contenido malicioso o la manipulación de la apariencia del sitio web. Un atacante podría, por ejemplo, modificar la información de contacto, cambiar los precios de productos o incluso insertar código JavaScript malicioso para redirigir a los usuarios a sitios web fraudulentos. La severidad de este impacto depende del nivel de acceso que tenga el atacante y de la importancia del contenido que pueda modificar.
Actualmente, no se dispone de información pública sobre campañas de explotación activa de esta vulnerabilidad. La vulnerabilidad ha sido publicada el 2025-08-28. Se recomienda monitorear los foros de seguridad y las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. La ausencia de un PoC público no significa que la vulnerabilidad no pueda ser explotada, por lo que se recomienda aplicar la actualización lo antes posible.
Websites and organizations using Contao CMS versions 5.3.9 and earlier are at risk. This includes those running shared hosting environments where CMS updates are not managed by the hosting provider. Those with custom Contao installations or legacy configurations are particularly vulnerable if they have not been proactively monitoring security advisories.
• php / server:
find /var/www/contao/ -name 'contao/core-bundle' -type d• php / server:
ps aux | grep -i contao• generic web: Check Contao CMS version exposed in HTTP headers or website footer.
disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La solución definitiva para esta vulnerabilidad es actualizar Contao Core Bundle a la versión 5.3.38 o 5.6.1. Estas versiones incluyen las correcciones necesarias para evitar la explotación de la falla de permisos. Dado que no existen workarounds disponibles, la actualización es la única opción viable para proteger el sistema. Antes de realizar la actualización, se recomienda realizar una copia de seguridad completa de la base de datos y los archivos del sitio web. Después de la actualización, confirme que los permisos de los usuarios se han restablecido correctamente y que los campos de las páginas y artículos solo pueden ser editados por los usuarios autorizados.
Actualice Contao a la versión 5.3.38 o superior. Esta actualización corrige la vulnerabilidad de gestión de privilegios que permite a usuarios no autorizados editar campos de páginas y artículos. La actualización se puede realizar a través del administrador de Contao o descargando la nueva versión del sitio web oficial.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-57759 is a vulnerability in Contao CMS versions 5.3.9 and earlier that allows unauthorized backend users to edit page and article fields.
You are affected if you are using Contao CMS versions 5.3.9 or earlier. Upgrade to 5.3.38 or 5.6.1 to mitigate the risk.
Upgrade Contao CMS to version 5.3.38 or 5.6.1. There are no workarounds available.
There is currently no indication of active exploitation, but it's possible attackers may develop exploits in the future.
Refer to the Contao GitHub issue tracker: https://github.com/contao/contao/issues/new/choose
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.