CVSS: 8.8EPSS: 0%CPEs: 9EXPL: 0CVE-2019-19745
https://notcve.org/view.php?id=CVE-2019-19745
17 Dec 2019 — Contao 4.0 through 4.8.5 allows PHP local file inclusion. A back end user with access to the form generator can upload arbitrary files and execute them on the server. Contao versiones 4.0 hasta 4.8.5, permite una inclusión de archivos locales PHP. Un usuario del back-end con acceso al generador de formularios puede cargar archivos arbitrarios y ejecutarlos sobre el servidor. • https://contao.org/en/news.html • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2019-19714
https://notcve.org/view.php?id=CVE-2019-19714
17 Dec 2019 — Contao 4.8.4 and 4.8.5 has Improper Encoding or Escaping of Output. It is possible to inject insert tags into the login module which will be replaced when the page is rendered. Contao versiones 4.8.4 y 4.8.5, presenta una Codificación o Escape de Salida Inapropiada. Es posible inyectar etiquetas de inserción hacia el módulo de inicio de sesión que serán reemplazadas cuando la página sea renderizada. • https://contao.org/en/news.html • CWE-116: Improper Encoding or Escaping of Output •
CVSS: 5.3EPSS: 0%CPEs: 9EXPL: 0CVE-2019-19712
https://notcve.org/view.php?id=CVE-2019-19712
17 Dec 2019 — Contao 4.0 through 4.8.5 has Insecure Permissions. Back end users can manipulate the details view URL to show pages and articles that have not been enabled for them. Contao versiones 4.0 hasta la versión 4.8.5, tiene permisos no seguros. Los usuarios finales pueden manipular la URL de la vista de detalles para mostrar páginas y artículos que no han sido habilitados para ellos. • https://contao.org/en/news.html • CWE-276: Incorrect Default Permissions •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-11512
https://notcve.org/view.php?id=CVE-2019-11512
09 Jul 2019 — Contao 4.x allows SQL Injection. Fixed in Contao 4.4.39 and Contao 4.7.5. Contao versiones 4.x , permite la inyección SQL. Se corrigió en Contao versión 4.4.39 y Contao versión 4.7.5. • https://contao.org/en/news/security-vulnerability-cve-2019-11512.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •