CVE-2024-27087

Versões do Kirby anteriores à 4.1.1

O Kirby é um sistema de gerenciamento de conteúdo. O novo campo de link introduzido no Kirby 4 permite vários tipos diferentes de link, cada um dos quais valida o link inserido quanto ao formato de URL relevante. Ele também inclui um tipo de link “Personalizado” para casos de uso avançados que não se enquadram em nenhum dos formatos de link predefinidos. Como o tipo de link “Personalizado” se destina a ser flexível, ele também permite o esquema de URL javascript:. Em alguns casos de uso, isso pode ser intencional, mas também pode ser usado indevidamente por invasores para executar código JavaScript arbitrário quando um usuário ou visitante clica em um link gerado a partir do conteúdo do campo de link. Esse problema pode levar a ataques de cross-site scripting (XSS), que podem acionar solicitações à API do Kirby com as permissões da vítima, potencialmente elevando privilégios se um invasor obtiver acesso à sessão do Painel de um usuário administrador.

Para versões anteriores à 4.1.1, atualize para o Kirby 4.1.1 ou uma versão posterior para corrigir a vulnerabilidade. Como solução temporária, considere desativar o tipo de link “Personalizado” ou adicionar validação adicional para impedir a execução de código JavaScript arbitrário. Restrinja o acesso ao campo de link para minimizar o risco de exploração. Se você limitar os tipos de link aceitáveis com a propriedade do campo options, já estará protegido.