CVE-2024-26481

Kirby CMS versão 4.1.0

Foi descoberta uma vulnerabilidade de auto-XSS refletido no Kirby CMS por meio do parâmetro de URL. Esse problema pode ser explorado quando um usuário é induzido a executar código JavaScript malicioso dentro de seu próprio contexto, geralmente por meio de técnicas de engenharia social. A vulnerabilidade é limitada ao auto-XSS e não pode afetar diretamente outros usuários ou visitantes do site. Um ataque bem-sucedido geralmente requer conhecimento da estrutura do conteúdo por parte do invasor, bem como engenharia social de um usuário com acesso ao Painel.

Para resolver o problema, atualize para uma das seguintes versões ou uma versão posterior: Kirby 3.6.6.5, Kirby 3.7.5.4, Kirby 3.8.4.3, Kirby 3.9.8.1, Kirby 3.10.0.1 ou Kirby 4.1.1. Como solução alternativa temporária, considere evitar o uso do campo URL em qualquer blueprint até que uma correção esteja disponível. Restrinja o acesso ao Painel para minimizar o risco de exploração. Evite usar a URL javascript: no destino do botão de link para impedir a execução de código malicioso.