CVE-2021-41258

Versões do Kirby anteriores à 3.5.8

O problema diz respeito ao campo de blocos do Kirby, que armazena dados estruturados para cada bloco, e esses dados são usados em trechos de código (snippets) para converter blocos em HTML para uso em modelos. O trecho de código padrão para o bloco de imagem não escapava caracteres especiais de HTML, tornando possível incluir código HTML malicioso nos campos source, alt e link do bloco de imagem. Esse código seria então exibido na interface do site e executado nos navegadores dos visitantes do site e dos usuários conectados. Os invasores devem ser usuários autenticados do Painel para explorar essa vulnerabilidade. A vulnerabilidade permite ataques de cross-site scripting (XSS), que podem executar código JavaScript dentro do front-end do site ou da sessão do Painel de outros usuários.

Para versões anteriores à 3.5.8, atualize para a versão 3.5.8 do Kirby ou uma versão posterior para corrigir a vulnerabilidade. Como solução temporária, considere escapar caracteres especiais HTML na saída do snippet padrão do bloco de imagem ou usar um snippet de bloco personalizado que escape os valores impressos ou não os utilize. Restrinja o acesso ao campo de blocos, especialmente ao bloco de imagem, para minimizar o risco de exploração. Evite usar os campos source, alt e link no bloco de imagem até que o problema seja resolvido.