getkirby/cms
php · getkirby/cmsAtenção
Kirby CMS: Correção de injeção de cabeçalho HTTP via Remote (CVE pendente)
Versões do Kirby CMS anteriores a 4.
19 Jun 2026 · agende este mês
php · getkirby/cmsCrítico
Kirby CMS: Vulnerabilidade XSS no campo writer (CVE pendente) corrigida nas versões 4.9.4 e 5.4.4
Os campos link e email do writer field aceitavam URLs com JavaScript, permitindo ataques de self-XSS.
19 Jun 2026 · mexe agora
php · getkirby/cmsCrítico
Kirby CMS: Dom::sanitize() falha ao sanitizar nós desaninhados (XSS)
Dom::sanitize() não sanitizava nós removidos de seu pai, permitindo XSS armazenado via campos writer/list ou API Sane.
19 Jun 2026 · mexe agora
php · getkirby/cmsCrítico
Kirby CMS: vulnerabilidade de criação de conta admin via cabeçalhos de proxy reverso
A verificação `isLocal` na lógica de instalação do Painel do Kirby não tratava corretamente os cabeçalhos `Forwarded: for=.
19 Jun 2026 · mexe agora
php · getkirby/cmsCrítico
Kirby CMS: Falha de autorização na rota /api/site/find permite acesso não autorizado a páginas
A rota /api/site/find não verificava permissões, permitindo que usuários autenticados recuperassem informações completas de página
19 Jun 2026 · mexe agora