CVE-2026-32870

Name of the Vulnerable Software and Affected Versions Kirby versões anteriores a 4.9.0 Kirby versões anteriores a 5.4.0

Description O método Xml::value() no Kirby contém uma falha na maneira como processa blocos <![CDATA[ ]]>. Embora o método seja projetado para permitir que CDATA válido passe sem ser escapado por uma segunda vez, era possível fornecer entradas que continham um bloco CDATA válido juntamente com outros dados estruturados. Isso permitia que os dados estruturados ignorassem a proteção de valor, potencialmente levando a uma injeção de XML. A injeção de XML é um ataque onde caracteres especiais são injetados em dados de entrada para gerar uma saída XML com significado malicioso, o que pode manipular o comportamento de sistemas que analisam o esquema XML resultante.

Este problema afeta o método Xml::value(), bem como Xml::tag(), Xml::create() e o manipulador de dados Xml (ex: Data::encode($string, 'xml')). Esses componentes não são usados no núcleo do Kirby, mas podem ser utilizados em códigos de sites ou plugins para criar strings XML a partir de dados de entrada.

Recommendations Atualize para a versão 4.9.0 ou posterior. Atualize para a versão 5.4.0 ou posterior. Como medida paliativa temporária, restrinja ou evite o uso das funções Xml::value(), Xml::tag(), Xml::create() e do manipulador de dados Xml em códigos de sites ou plugins se eles processarem entradas controladas por atacantes.