Hdodov

**Nome do software vulnerável e versões afetadas** Versões 3.5.5 a 3.5.6 do Kirby CMS **Descrição** O Kirby é um sistema de gerenciamento de conteúdo. O componente `ListItem` do Painel exibia HTML nos títulos das páginas tal como estava, o que poderia ser usado para ataques de cross-site scripting (XSS). Usuários mal-intencionados autenticados no Painel podem escalar seus privilégios se obtiverem acesso à sessão do Painel de um usuário administrador. Visitantes sem acesso ao Painel podem usar o vetor de ataque se o site permitir a alteração de dados do site a partir de um formulário front-end. **Recomendações** Para as versões 3.5.5 e 3.5.6, atualize para o Kirby 3.5.7 para corrigir a vulnerabilidade. Como solução alternativa parcial, os administradores do site podem se proteger contra ataques de visitantes sem acesso ao Painel, validando ou sanitizando os dados fornecidos pelo formulário front-end.