CVE-2022-36037

Versões do Kirby 3.5 a 3.5.8.0

O cross-site scripting (XSS) permite a execução de código JavaScript dentro da sessão do Painel do mesmo usuário ou de outros usuários. Um script malicioso pode acionar solicitações à API do Kirby com as permissões da vítima. Se os invasores obtiverem acesso a um grupo de usuários autenticados no Painel, eles poderão escalar seus privilégios por meio da sessão do Painel de um usuário administrador. O campo de seleção múltipla permite a seleção de tags a partir de uma lista de autocompletar e, no Kirby 3.5, utilizava renderização HTML para o valor bruto da opção, permitindo que invasores armazenassem código HTML. O navegador da vítima que visitou uma página com opções de seleção múltipla manipuladas no Painel renderizará esse código HTML malicioso quando a vítima abrir o menu suspenso de autocompletar.

Para as versões 3.5 a 3.5.8.0 do Kirby, atualize para o Kirby 3.5.8.1 ou uma versão posterior para corrigir a vulnerabilidade. Como solução alternativa temporária, considere desativar o campo de seleção múltipla removendo o comentário em todos os blueprints.