Platform
php
Component
contao/core-bundle
Opgelost in
5.3.1
5.4.1
5.3.38
CVE-2025-57759 beschrijft een kwetsbaarheid in Contao CMS waarbij achterliggende gebruikers onder bepaalde omstandigheden velden van pagina's en artikelen kunnen bewerken, zelfs als ze niet de benodigde permissies hebben. Dit kan leiden tot ongeautoriseerde wijzigingen aan content en data-integriteitsproblemen. De kwetsbaarheid treft versies van Contao CMS tot en met 5.3.9. Een update naar versie 5.3.38 of 5.6.1 is vereist om dit probleem te verhelpen.
De impact van deze kwetsbaarheid is aanzienlijk, omdat ongeautoriseerde gebruikers de mogelijkheid hebben om content te wijzigen zonder de juiste permissies. Dit kan leiden tot het verspreiden van onjuiste informatie, het manipuleren van data en het compromitteren van de integriteit van de website. Afhankelijk van de functionaliteit van de website en de data die wordt opgeslagen, kan dit leiden tot reputatieschade, financiële verliezen en zelfs juridische consequenties. De kwetsbaarheid kan worden misbruikt om bijvoorbeeld advertenties te injecteren, pagina's te defacen of gevoelige informatie te wijzigen.
Op dit moment zijn er geen publieke exploitatiecampagnes bekend die specifiek gericht zijn op CVE-2025-57759. Er zijn ook geen public proof-of-concept exploits beschikbaar. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend). De publicatie datum van de kwetsbaarheid is 2025-08-28.
Websites and organizations using Contao CMS versions 5.3.9 and earlier are at risk. This includes those running shared hosting environments where CMS updates are not managed by the hosting provider. Those with custom Contao installations or legacy configurations are particularly vulnerable if they have not been proactively monitoring security advisories.
• php / server:
find /var/www/contao/ -name 'contao/core-bundle' -type d• php / server:
ps aux | grep -i contao• generic web: Check Contao CMS version exposed in HTTP headers or website footer.
disclosure
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-57759 is het updaten van de Contao CMS installatie naar versie 5.3.38 of 5.6.1. Deze versies bevatten de benodigde correcties om de kwetsbaarheid te verhelpen. Aangezien er geen workarounds beschikbaar zijn, is het essentieel om zo snel mogelijk te updaten. Indien een directe update problemen veroorzaakt, overweeg dan een rollback naar een eerdere stabiele versie voordat de update wordt uitgevoerd. Na de update, controleer de permissies van gebruikers en groepen om te verzekeren dat deze correct zijn ingesteld en dat gebruikers alleen toegang hebben tot de data en functionaliteit die ze nodig hebben.
Actualice Contao a la versión 5.3.38 o superior. Esta actualización corrige la vulnerabilidad de gestión de privilegios que permite a usuarios no autorizados editar campos de páginas y artículos. La actualización se puede realizar a través del administrador de Contao o descargando la nueva versión del sitio web oficial.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-57759 is a vulnerability in Contao CMS versions 5.3.9 and earlier that allows unauthorized backend users to edit page and article fields.
You are affected if you are using Contao CMS versions 5.3.9 or earlier. Upgrade to 5.3.38 or 5.6.1 to mitigate the risk.
Upgrade Contao CMS to version 5.3.38 or 5.6.1. There are no workarounds available.
There is currently no indication of active exploitation, but it's possible attackers may develop exploits in the future.
Refer to the Contao GitHub issue tracker: https://github.com/contao/contao/issues/new/choose
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.