Plataforma
php
Componente
contao/core-bundle
Corrigido em
5.3.1
5.4.1
5.3.38
A vulnerabilidade CVE-2025-57759 afeta o componente core-bundle do Contao, permitindo que usuários do back-end editem campos de páginas e artigos sem as permissões necessárias sob certas condições. Essa falha pode levar à alteração não autorizada de conteúdo e comprometer a integridade do site. Versões afetadas incluem aquelas menores ou iguais a 5.3.9. A correção está disponível através da atualização para a versão 5.3.38 ou 5.6.1.
O impacto principal desta vulnerabilidade reside na possibilidade de usuários não autorizados modificarem o conteúdo de páginas e artigos dentro do sistema Contao. Um atacante com acesso ao back-end, mesmo sem as permissões adequadas, pode explorar essa falha para inserir conteúdo malicioso, alterar informações críticas ou até mesmo desfigurar o site. A extensão do dano potencial depende do nível de acesso que o atacante consegue obter e da importância do conteúdo afetado. Em cenários mais graves, essa vulnerabilidade pode ser combinada com outras falhas para permitir a escalada de privilégios e o controle total do sistema.
A vulnerabilidade CVE-2025-57759 foi divulgada em 28 de agosto de 2025. Não há informações disponíveis sobre a existência de Proof of Concepts (PoCs) públicos ou campanhas de exploração ativas no momento. É importante monitorar os canais de segurança e fóruns da comunidade Contao para obter atualizações sobre possíveis explorações.
Websites and organizations using Contao CMS versions 5.3.9 and earlier are at risk. This includes those running shared hosting environments where CMS updates are not managed by the hosting provider. Those with custom Contao installations or legacy configurations are particularly vulnerable if they have not been proactively monitoring security advisories.
• php / server:
find /var/www/contao/ -name 'contao/core-bundle' -type d• php / server:
ps aux | grep -i contao• generic web: Check Contao CMS version exposed in HTTP headers or website footer.
disclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2025-57759 é a atualização imediata para a versão 5.3.38 ou 5.6.1 do Contao. Não existem workarounds conhecidos para esta vulnerabilidade além da atualização. Antes de aplicar a atualização, é altamente recomendável realizar um backup completo do banco de dados e dos arquivos do Contao. Após a atualização, verifique a integridade do site, confirmando que os usuários com permissões restritas não conseguem mais editar campos de páginas e artigos sem a devida autorização.
Actualice Contao a la versión 5.3.38 o superior. Esta actualización corrige la vulnerabilidad de gestión de privilegios que permite a usuarios no autorizados editar campos de páginas y artículos. La actualización se puede realizar a través del administrador de Contao o descargando la nueva versión del sitio web oficial.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-57759 is a vulnerability in Contao CMS versions 5.3.9 and earlier that allows unauthorized backend users to edit page and article fields.
You are affected if you are using Contao CMS versions 5.3.9 or earlier. Upgrade to 5.3.38 or 5.6.1 to mitigate the risk.
Upgrade Contao CMS to version 5.3.38 or 5.6.1. There are no workarounds available.
There is currently no indication of active exploitation, but it's possible attackers may develop exploits in the future.
Refer to the Contao GitHub issue tracker: https://github.com/contao/contao/issues/new/choose
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.