CVE-2025-30159

Nome do Software Vulnerável e Versões Afetadas: Versões do Kirby anteriores a 3.9.8.3 Versões do Kirby anteriores a 3.10.1.2 Versões do Kirby anteriores a 4.7.1

Descrição: Uma vulnerabilidade no Kirby afeta sites que utilizam o helper snippet() ou o método $kirby->snippet() com um nome de snippet dinâmico, permitindo que invasores naveguem e acessem todos os arquivos no servidor que estavam acessíveis ao processo PHP. Isso inclui arquivos fora da raiz de snippets ou até mesmo fora da instalação do Kirby, com execução de código PHP contido nesses arquivos. O ataque requer um vetor de ataque no código do site causado por nomes de snippets dinâmicos e conhecimento da estrutura do site e do sistema de arquivos do servidor. Isso pode causar danos à confidencialidade e integridade do servidor.

Recomendações: Para versões anteriores a 3.9.8.3, atualize para o Kirby 3.9.8.3 ou posterior. Para versões anteriores a 3.10.1.2, atualize para o Kirby 3.10.1.2 ou posterior. Para versões anteriores a 4.7.1, atualize para o Kirby 4.7.1 ou posterior. Como solução temporária, considere evitar o uso de nomes de snippets dinâmicos com o helper snippet() ou o método $kirby->snippet() até que uma correção seja aplicada.