php · getkirby/cmsCrítico
Kirby CMS: Dom::sanitize() falha ao sanitizar nós desaninhados (XSS)
Dom::sanitize() não sanitizava nós removidos de seu pai, permitindo XSS armazenado via campos writer/list ou API Sane.
O que mudou
Dom::sanitize() não sanitizava nós removidos de seu pai, permitindo XSS armazenado via campos writer/list ou API Sane.
Quem isso afeta
Sites Kirby que usam campos writer/list ou Sane::sanitize() com entrada não confiável; usuários autenticados do painel podem explorar.
O que fazer hoje
Atualize para Kirby 4.9.4 ou 5.4.4 imediatamente; revise e re-sanitize conteúdo existente se atacantes podem ter estado presentes.
A esteira
Coletado→
Auditado→
Redigido→
Publicado