CVE-2025-57759 是 Contao CMS 中的一个权限提升漏洞,允许未经授权的用户编辑页面和文章字段。该漏洞影响 Contao CMS 版本 5.3.9 及更早版本。建议用户尽快升级至 Contao 5.3.38 或 5.6.1 以缓解风险。目前尚无已知的规避措施。
该漏洞允许具有较低权限的后端用户,在特定条件下,未经授权地修改 Contao CMS 页面和文章的字段内容。攻击者可以利用此漏洞篡改网站内容,传播虚假信息,或执行其他恶意操作。如果网站内容对用户或业务运营至关重要,该漏洞可能导致严重后果。由于该漏洞涉及权限绕过,攻击者可能进一步利用其在系统中获取更高的权限,从而对整个系统造成更大的威胁。
该漏洞已公开披露,目前尚无公开的 PoC 代码。CISA 尚未将其添加到 KEV 目录。由于漏洞的性质,存在被恶意利用的风险,建议尽快修复。
Websites and organizations using Contao CMS versions 5.3.9 and earlier are at risk. This includes those running shared hosting environments where CMS updates are not managed by the hosting provider. Those with custom Contao installations or legacy configurations are particularly vulnerable if they have not been proactively monitoring security advisories.
• php / server:
find /var/www/contao/ -name 'contao/core-bundle' -type d• php / server:
ps aux | grep -i contao• generic web: Check Contao CMS version exposed in HTTP headers or website footer.
disclosure
漏洞利用状态
EPSS
0.04% (11% 百分位)
CISA SSVC
CVSS 向量
目前,解决此漏洞的唯一方法是升级 Contao CMS 至 5.3.38 或 5.6.1 版本。在升级之前,务必备份 Contao CMS 数据库和文件,以防止升级过程中出现问题。升级后,建议进行全面的功能测试,以确保所有功能正常运行。由于目前没有已知的规避措施,建议尽快完成升级。
Actualice Contao a la versión 5.3.38 o superior. Esta actualización corrige la vulnerabilidad de gestión de privilegios que permite a usuarios no autorizados editar campos de páginas y artículos. La actualización se puede realizar a través del administrador de Contao o descargando la nueva versión del sitio web oficial.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-57759 是 Contao CMS 中一个中等风险的权限提升漏洞,允许未经授权的用户编辑页面和文章字段。
如果您正在使用 Contao CMS 5.3.9 或更早版本,则可能受到此漏洞的影响。
升级至 Contao 5.3.38 或 5.6.1 版本以修复此漏洞。
目前尚无公开的利用案例,但存在被恶意利用的风险。
请访问 Contao CMS 的 GitHub 仓库:https://github.com/contao/contao/issues/new/choose