CVE-2021-32735

Versões 3.5.5 a 3.5.6 do Kirby CMS

O Kirby é um sistema de gerenciamento de conteúdo. O componente ListItem do Painel exibia HTML nos títulos das páginas tal como estava, o que poderia ser usado para ataques de cross-site scripting (XSS). Usuários mal-intencionados autenticados no Painel podem escalar seus privilégios se obtiverem acesso à sessão do Painel de um usuário administrador. Visitantes sem acesso ao Painel podem usar o vetor de ataque se o site permitir a alteração de dados do site a partir de um formulário front-end.

Para as versões 3.5.5 e 3.5.6, atualize para o Kirby 3.5.7 para corrigir a vulnerabilidade.

Como solução alternativa parcial, os administradores do site podem se proteger contra ataques de visitantes sem acesso ao Painel, validando ou sanitizando os dados fornecidos pelo formulário front-end.