CVE-2021-29460

**Nome do software vulnerável e versões afetadas:

Versões do Kirby anteriores à 3.5.4

Descrição:

A vulnerabilidade permite que um editor com acesso de gravação ao Painel do Kirby faça upload de um arquivo SVG ou XML contendo conteúdo malicioso, como tags <script>. Se uma vítima abrir o link para o arquivo em um navegador no qual esteja conectada ao Kirby, o script pode ser executado e acionar solicitações à API do Kirby com as permissões da vítima. Isso pode levar à escalada de privilégios se um invasor obtiver acesso à sessão do Painel de um usuário administrador. Visitantes sem acesso ao Painel podem explorar essa vulnerabilidade se o site permitir uploads de arquivos SVG ou XML em formulários front-end sem validação ou sanitização.

Recomendações:

Para resolver o problema, atualize para o Kirby 3.5.4 ou uma versão posterior.

Para formulários de upload do front-end, certifique-se de que eles sejam corrigidos separadamente, dependendo de como armazenam os arquivos enviados.

Se estiver usando File::create(), a atualização para o Kirby 3.5.4+ oferece proteção.

Como solução temporária, considere desativar o upload de arquivos SVG e XML nos blueprints de arquivo até que uma correção seja aplicada.

Após a atualização, execute o script validador fornecido para verificar se há arquivos maliciosos existentes e analise os erros listados para correção manual.