CVE-2026-25125

Name of the Vulnerable Software and Affected Versions October versões anteriores a 3.7.14 October versões anteriores a 4.1.10

Description Um problema de divulgação de informações existe no analisador de configurações INI. A função parse ini string() do PHP suporta a sintaxe ${} para interpolação de variáveis de ambiente. Usuários com acesso de Editor podem injetar padrões como ${APP KEY} ou ${DB PASSWORD} nos campos de configurações de página do CMS. Isso faz com que variáveis de ambiente sensíveis sejam resolvidas, armazenadas no template e retornadas ao invasor ao reabrir a página, permitindo potencialmente a exfiltração de senhas de banco de dados, chaves AWS e chaves de aplicativo. Isso pode, posteriormente, permitir o acesso ao banco de dados ou a falsificação de cookies. Este problema é especificamente relevante quando a variável cms.safe mode está habilitada.

Recommendations Atualizar para a versão 3.7.14. Atualizar para a versão 4.1.10. Restringir o acesso à ferramenta de Editor apenas a administradores totalmente confiáveis. Garantir que as credenciais de serviços de nuvem e do banco de dados não estejam acessíveis a partir da rede do servidor web.