Florian Merz

**Nome do software vulnerável e versões afetadas** Versões do Kirby anteriores à 3.5.8.2 Versões do Kirby anteriores à 3.6.6.2 Versões do Kirby anteriores à 3.7.5.1 Versões do Kirby anteriores à 3.8.1 **Descrição** A vulnerabilidade afeta o Kirby, um CMS de arquivo simples, devido à restrição inadequada de tentativas excessivas de autenticação, permitindo a enumeração de usuários. Isso ocorre ao usar o método de autenticação `code` ou `password-reset` com a opção `auth.methods` ou quando a opção `debug` está habilitada em produção. Ao utilizar vários endereços IP e tentativas de login, um invasor pode identificar contas de usuário válidas, pois elas serão bloqueadas, enquanto contas inválidas não serão. A vulnerabilidade pode ser explorada para coletar informações para ataques de engenharia social ou para determinar a estrutura organizacional de uma empresa. **Recomendações** Para versões anteriores à 3.5.8.2, atualize para a versão 3.5.8.2 ou posterior. Para versões anteriores à 3.6.6.2, atualize para a versão 3.6.6.2 ou posterior. Para versões anteriores à 3.7.5.1, atualize para a versão 3.7.5.1 ou posterior. Para versões anteriores à 3.8.1, atualize para a versão 3.8.1 ou posterior. Como solução alternativa temporária, considere definir a opção `auth.methods` como `password` para desativar os formulários de login baseados em código e de redefinição de senha.