PT-2024-29666 · Kirby · Kirby
Sebastianeberlein-Juno
·
Publicado
2024-08-29
·
Atualizado
2024-09-06
·
CVE-2024-41964
CVSS v4.0
8.8
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Kirby anteriores à 3.6.6.6
Versões do Kirby anteriores à 3.7.5.5
Versões do Kirby anteriores à 3.8.4.4
Versões do Kirby anteriores à 3.9.8.2
Versões do Kirby anteriores à 3.10.1.1
Versões do Kirby anteriores à 4.3.1
Descrição
O Kirby é um CMS voltado para designers e editores, permitindo a restrição de permissões para funções específicas de usuários. No entanto, as verificações de permissão para criar, excluir e atualizar idiomas não eram aplicadas, permitindo que invasores com acesso ao Painel manipulassem as definições de idiomas. Isso poderia causar danos significativos, como perda de conteúdo, problemas de disponibilidade do site ou problemas de integridade devido a URLs alteradas ou traduções removidas.
Recomendações
Para versões do Kirby anteriores à 3.6.6.6, atualize para a versão 3.6.6.6 ou posterior.
Para versões do Kirby anteriores à 3.7.5.5, atualize para a versão 3.7.5.5 ou posterior.
Para versões do Kirby anteriores à 3.8.4.4, atualize para a versão 3.8.4.4 ou posterior.
Para versões do Kirby anteriores à 3.9.8.2, atualize para a versão 3.9.8.2 ou posterior.
Para versões do Kirby anteriores à 3.10.1.1, atualize para a versão 3.10.1.1 ou posterior.
Para versões do Kirby anteriores à 4.3.1, atualize para a versão 4.3.1 ou posterior.
Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kirby