Bastianallgeier

Nome do Software Vulnerável e Versões Afetadas: Versões do Kirby anteriores à 3.9.8.3 Versões do Kirby anteriores à 3.10.1.2 Versões do Kirby anteriores à 4.7.1 Descrição: Uma vulnerabilidade no Kirby afeta ambientes que utilizam o servidor embutido do PHP, comumente usado durante o desenvolvimento local. Este problema permite que atacantes naveguem por todos os arquivos no servidor acessíveis ao processo PHP, incluindo arquivos fora da instalação do Kirby, devido à falta de uma verificação de path traversal. A implementação vulnerável delega arquivos existentes ao PHP, incluindo arquivos fora do document root, resultando em respostas diferentes que permitem aos atacantes determinar se o arquivo solicitado existe. No entanto, o conteúdo dos arquivos não foi exposto, pois o PHP trata solicitações para arquivos fora do document root como inválidas. Recomendações: Para versões anteriores à 3.9.8.3, atualize para o Kirby 3.9.8.3 ou posterior. Para versões anteriores à 3.10.1.2, atualize para o Kirby 3.10.1.2 ou posterior. Para versões anteriores à 4.7.1, atualize para o Kirby 4.7.1 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Kirby anteriores a 3.9.8.3 Versões do Kirby anteriores a 3.10.1.2 Versões do Kirby anteriores a 4.7.1 Descrição: Uma vulnerabilidade no Kirby afeta sites que utilizam o helper `collection()` ou o método `$kirby->collection()` com um nome de coleção dinâmico, permitindo que atacantes naveguem e acessem todos os arquivos no servidor que estavam acessíveis ao processo PHP. Isso inclui arquivos fora da raiz das coleções ou até mesmo fora da instalação do Kirby, com código PHP dentro desses arquivos sendo executado. O ataque requer um vetor de ataque no código do site causado por nomes de coleções dinâmicos e conhecimento da estrutura do site e do sistema de arquivos do servidor. No entanto, é possível encontrar configurações vulneráveis por meio de métodos automatizados, como fuzzing. Isso pode causar danos à confidencialidade e à integridade do servidor. Recomendações: Para versões anteriores a 3.9.8.3, atualize para o Kirby 3.9.8.3 ou posterior. Para versões anteriores a 3.10.1.2, atualize para o Kirby 3.10.1.2 ou posterior. Para versões anteriores a 4.7.1, atualize para o Kirby 4.7.1 ou posterior. Como solução alternativa temporária, considere evitar o uso de nomes de coleções dinâmicos no helper `collection()` ou no método `$kirby->collection()` até que um patch seja aplicado.

**Name of the Vulnerable Software and Affected Versions** bastianallgeier Kirby Webmentions Plugin (affected versions not specified) **Description** A vulnerability was found in the bastianallgeier Kirby Webmentions Plugin, allowing for injection attacks. The manipulation can be launched remotely, but the complexity of the attack is rather high, and exploitation is known to be difficult. **Recommendations** Apply a patch to fix this issue. The patch is identified as 55bedea78ae9af916a9a41497bd9996417851502.

**Nome do software vulnerável e versões afetadas** Versões do Kirby anteriores à 3.5.8.2 Versões do Kirby anteriores à 3.6.6.2 Versões do Kirby anteriores à 3.7.5.1 Versões do Kirby anteriores à 3.8.1 **Descrição** A vulnerabilidade afeta sites Kirby com contas de usuário, a menos que a API e o Painel estejam desativados na configuração. Ela permite que invasores confirmem quais usuários estão registrados em uma instalação do Kirby por meio da enumeração de usuários, o que pode ser usado para ataques de engenharia social ou para determinar a estrutura organizacional de uma empresa. A vulnerabilidade só pode ser explorada para ataques direcionados, pois não é escalável para ataques de força bruta devido ao atraso durante as primeiras 10 solicitações por usuário e à diferença mínima entre as respostas para usuários válidos e inválidos. **Recomendações** Para versões anteriores à 3.5.8.2, atualize para o Kirby 3.5.8.2 ou uma versão posterior. Para versões anteriores à 3.6.6.2, atualize para o Kirby 3.6.6.2 ou uma versão posterior. Para versões anteriores à 3.7.5.1, atualize para o Kirby 3.7.5.1 ou uma versão posterior. Para versões anteriores à 3.8.1, atualize para o Kirby 3.8.1 ou uma versão posterior. Como solução temporária, considere desativar a API e o Painel na configuração para evitar explorações.