Plateforme
php
Composant
contao/core-bundle
Corrigé dans
5.3.1
5.4.1
5.3.38
La vulnérabilité CVE-2025-57759 affecte le système de gestion de contenu (CMS) Contao. Elle permet, dans certaines conditions, à des utilisateurs de l'interface d'administration de modifier des champs de pages et d'articles sans posséder les permissions nécessaires. Cette faille impacte les versions de Contao antérieures ou égales à 5.3.9. Une mise à jour vers la version 5.3.38 ou 5.6.1 est nécessaire pour corriger ce problème.
Cette vulnérabilité de contournement d'autorisations représente un risque significatif pour la sécurité des sites web utilisant Contao. Un attaquant peut exploiter cette faille pour modifier le contenu des pages et des articles, potentiellement injectant du code malveillant, modifiant des informations sensibles ou défigurant le site web. L'impact peut aller de la simple altération de l'apparence du site à la compromission complète de la base de données et du serveur. Bien qu'il n'y ait pas de détails spécifiques sur l'exploitation, la capacité de modifier le contenu sans autorisation ouvre la porte à diverses attaques, similaires à des injections de contenu non filtré.
La vulnérabilité CVE-2025-57759 a été rendue publique le 28 août 2025. Il n'y a pas d'informations disponibles concernant son ajout au KEV de CISA ou l'existence de preuves d'exploitation active. Aucun proof-of-concept public n'a été identifié à ce jour. Il est donc considéré comme un risque potentiel, mais pas immédiatement critique.
Websites and organizations using Contao CMS versions 5.3.9 and earlier are at risk. This includes those running shared hosting environments where CMS updates are not managed by the hosting provider. Those with custom Contao installations or legacy configurations are particularly vulnerable if they have not been proactively monitoring security advisories.
• php / server:
find /var/www/contao/ -name 'contao/core-bundle' -type d• php / server:
ps aux | grep -i contao• generic web: Check Contao CMS version exposed in HTTP headers or website footer.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
La mitigation principale pour cette vulnérabilité est la mise à jour vers la version 5.3.38 ou 5.6.1 de Contao. Il n'existe aucune solution de contournement pour atténuer ce risque. Avant d'effectuer la mise à jour, il est recommandé de réaliser une sauvegarde complète de la base de données et des fichiers du site web. Après la mise à jour, vérifiez l'intégrité des pages et des articles pour vous assurer que les modifications ont été appliquées correctement et qu'aucune anomalie n'est présente. Si la mise à jour provoque des problèmes de compatibilité, envisagez de restaurer la sauvegarde et de contacter le support de Contao pour obtenir de l'aide.
Actualice Contao a la versión 5.3.38 o superior. Esta actualización corrige la vulnerabilidad de gestión de privilegios que permite a usuarios no autorizados editar campos de páginas y artículos. La actualización se puede realizar a través del administrador de Contao o descargando la nueva versión del sitio web oficial.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-57759 is a vulnerability in Contao CMS versions 5.3.9 and earlier that allows unauthorized backend users to edit page and article fields.
You are affected if you are using Contao CMS versions 5.3.9 or earlier. Upgrade to 5.3.38 or 5.6.1 to mitigate the risk.
Upgrade Contao CMS to version 5.3.38 or 5.6.1. There are no workarounds available.
There is currently no indication of active exploitation, but it's possible attackers may develop exploits in the future.
Refer to the Contao GitHub issue tracker: https://github.com/contao/contao/issues/new/choose
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.