CVE-2025-31493

Nome do Software Vulnerável e Versões Afetadas: Versões do Kirby anteriores a 3.9.8.3 Versões do Kirby anteriores a 3.10.1.2 Versões do Kirby anteriores a 4.7.1

Descrição: Uma vulnerabilidade no Kirby afeta sites que utilizam o helper collection() ou o método $kirby->collection() com um nome de coleção dinâmico, permitindo que atacantes naveguem e acessem todos os arquivos no servidor que estavam acessíveis ao processo PHP. Isso inclui arquivos fora da raiz das coleções ou até mesmo fora da instalação do Kirby, com código PHP dentro desses arquivos sendo executado. O ataque requer um vetor de ataque no código do site causado por nomes de coleções dinâmicos e conhecimento da estrutura do site e do sistema de arquivos do servidor. No entanto, é possível encontrar configurações vulneráveis por meio de métodos automatizados, como fuzzing. Isso pode causar danos à confidencialidade e à integridade do servidor.

Recomendações: Para versões anteriores a 3.9.8.3, atualize para o Kirby 3.9.8.3 ou posterior. Para versões anteriores a 3.10.1.2, atualize para o Kirby 3.10.1.2 ou posterior. Para versões anteriores a 4.7.1, atualize para o Kirby 4.7.1 ou posterior. Como solução alternativa temporária, considere evitar o uso de nomes de coleções dinâmicos no helper collection() ou no método $kirby->collection() até que um patch seja aplicado.