CVE-2021-41252

Versões do Kirby anteriores à 3.5.8

O problema diz respeito ao campo “writer” no Kirby, que armazena conteúdo formatado como código HTML e não escapa caracteres especiais de HTML contra ataques de cross-site scripting (XSS). Isso permite que código HTML malicioso seja injetado no arquivo de conteúdo e executado nos navegadores dos visitantes do site e dos usuários conectados. A vulnerabilidade pode ser explorada por invasores que fazem parte do grupo de usuários autenticados do Painel, podendo levar à escalada de privilégios caso obtenham acesso à sessão de um usuário administrador no Painel. O número estimado de dispositivos potencialmente afetados não foi especificado.

Para versões anteriores à 3.5.8, atualize para o Kirby 3.5.8 ou uma versão posterior para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso ao campo de edição para usuários autenticados do Painel, a fim de minimizar o risco de exploração. Se possível, evite usar o campo de edição até que o problema seja resolvido.