High severity8.8NVD Advisory· Published Jul 21, 2017· Updated May 13, 2026

CVE-2017-10993

Description

Contao before 3.5.28 and 4.x before 4.4.1 allows remote attackers to include and execute arbitrary local PHP files via a crafted parameter in a URL, aka Directory Traversal.

Affected packages

Versions sourced from the GitHub Security Advisory.

Package	Affected versions	Patched versions
contao/contaoPackagist	>= 4.0.0, < 4.4.1	4.4.1
contao/core-bundlePackagist	>= 4.0.0, < 4.4.1	4.4.1
contao/corePackagist	>= 3.0.0, < 3.5.28	3.5.28

Affected products

Contao/Contao CMS38 versions
cpe:2.3:a:contao:contao_cms:*:*:*:*:*:*:*:*+ 37 more
- cpe:2.3:a:contao:contao_cms:*:*:*:*:*:*:*:*range: <=3.5.27
- cpe:2.3:a:contao:contao_cms:4.0.0:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.0.0:beta1:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.0.0:rc1:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.0.1:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.0.2:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.0.3:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.0.4:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.1.0:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.1.0:beta1:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.1.0:rc1:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.1.1:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.1.2:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.1.3:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.2.0:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.2.0:beta1:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.3.8:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.3.9:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.3.10:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.3.11:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.4.0:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.4.0:beta1:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.4.0:rc1:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.4.0:rc2:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.2.0:rc1:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.2.1:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.2.2:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.2.3:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.2.4:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.2.5:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.3.0:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.3.0:rc1:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.3.1:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.3.2:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.3.3:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.3.5:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.3.6:*:*:*:*:*:*:*
- cpe:2.3:a:contao:contao_cms:4.3.7:*:*:*:*:*:*:*

Patches

No patches discovered yet.

Vulnerability mechanics

AI mechanics synthesis has not run for this CVE yet.

References

contao.org/en/news/contao-3_5_28.htmlnvdVendor AdvisoryWEB
github.com/advisories/GHSA-x5g4-crxq-qxjxghsaADVISORY
nvd.nist.gov/vuln/detail/CVE-2017-10993ghsaADVISORY
contao.org/en/news/contao-4_4_1.htmlghsaWEB
github.com/FriendsOfPHP/security-advisories/blob/master/contao/contao/CVE-2017-10993.yamlghsaWEB
github.com/FriendsOfPHP/security-advisories/blob/master/contao/core-bundle/CVE-2017-10993.yamlghsaWEB
github.com/FriendsOfPHP/security-advisories/blob/master/contao/core/CVE-2017-10993.yamlghsaWEB

News mentions

No linked articles in our index yet.

cvss	0.572
epss	0.001
exploit	0.000
kev	0.000
patch	0.000
ransomware	0.000