CVE-2025-30207

Nome do Software Vulnerável e Versões Afetadas: Versões do Kirby anteriores à 3.9.8.3 Versões do Kirby anteriores à 3.10.1.2 Versões do Kirby anteriores à 4.7.1

Descrição: Uma vulnerabilidade no Kirby afeta ambientes que utilizam o servidor embutido do PHP, comumente usado durante o desenvolvimento local. Este problema permite que atacantes naveguem por todos os arquivos no servidor acessíveis ao processo PHP, incluindo arquivos fora da instalação do Kirby, devido à falta de uma verificação de path traversal. A implementação vulnerável delega arquivos existentes ao PHP, incluindo arquivos fora do document root, resultando em respostas diferentes que permitem aos atacantes determinar se o arquivo solicitado existe. No entanto, o conteúdo dos arquivos não foi exposto, pois o PHP trata solicitações para arquivos fora do document root como inválidas.

Recomendações: Para versões anteriores à 3.9.8.3, atualize para o Kirby 3.9.8.3 ou posterior. Para versões anteriores à 3.10.1.2, atualize para o Kirby 3.10.1.2 ou posterior. Para versões anteriores à 4.7.1, atualize para o Kirby 4.7.1 ou posterior.