Kirby · Kirby · CVE-2026-42137
**Nome do Software Vulnerável e Versões Afetadas**
Kirby versões anteriores a 4.9.0
Kirby versões anteriores a 5.4.0
**Description**
A falta de autorização permite que usuários autenticados realizem ações às quais não deveriam ter acesso, podendo levar ao acesso não autorizado a informações sensíveis. O problema ocorre quando as permissões `pages.access/list` e `files.access/list` não são verificadas consistentemente no Painel e na API REST. Especificamente, modelos para os quais as permissões de acesso ou listagem estavam desativadas não eram ocultados consistentemente nos seguintes cenários:
- O diálogo de alterações do Painel listava modelos alterados, independentemente do status de listagem.
- A API REST não filtrava consistentemente coleções e modelos relacionados, incluindo a falta de verificações para filhos, rascunhos, arquivos, pais e irmãos de páginas; pais e irmãos de arquivos; filhos, rascunhos e arquivos do modelo do site; e arquivos de usuários.
- Verificações de permissão incorretas foram usadas para rotas de pesquisa e filhos de sites e páginas, utilizando `pages.access` em vez de `pages.list`, e `files.access` em vez de `files.list` para arquivos e rotas de pesquisa de contas, sites, páginas e usuários.
- Imagens do Painel para site, páginas e usuários eram exibidas em listas de modelos pais, mesmo que os arquivos de imagem não fossem listáveis.
- Os alvos de link para arquivos anteriores e próximos na visualização de arquivos não eram restringidos pelas permissões de listagem.
**Recommendations**
Atualizar para a versão 4.9.0 ou posterior.
Atualizar para a versão 5.4.0 ou posterior.