CVE-2024-26483

Kirby CMS versão 4.1.0

O problema está relacionado a uma vulnerabilidade de upload arbitrário de arquivos no módulo Imagem de Perfil, permitindo que invasores executem código arbitrário por meio de um arquivo PDF malicioso. Essa vulnerabilidade afeta todos os sites Kirby que possam ter potenciais invasores no grupo de usuários autenticados do Painel. O ataque requer interação de outro usuário ou visitante e não pode ser automatizado. A vulnerabilidade pode ser explorada para fazer upload de tipos de arquivos inesperados, como PDFs, o que poderia possibilitar a realização de ataques de cross-site scripting (XSS).

Para o Kirby CMS versão 4.1.0, atualize para a versão 4.1.1 ou uma versão posterior para corrigir a vulnerabilidade. Esta atualização inclui validações que impedem que quaisquer arquivos que não tenham uma extensão de arquivo de imagem ou tipo MIME sejam carregados como avatar de usuário. Como solução alternativa temporária, considere restringir o acesso ao módulo Imagem de Perfil para minimizar o risco de exploração. Evite usar o módulo para carregar arquivos que não sejam imagens até que o problema seja resolvido.