php · getkirby/cmsCrítico
Kirby CMS: Falha de autorização na rota /api/site/find permite acesso não autorizado a páginas
A rota /api/site/find não verificava permissões, permitindo que usuários autenticados recuperassem informações completas de páginas sem a devida autorização.
O que mudou
A rota /api/site/find não verificava permissões, permitindo que usuários autenticados recuperassem informações completas de páginas sem a devida autorização.
Quem isso afeta
Sites Kirby onde usuários de determinada função não têm permissão para acessar páginas (permissão pages.access desabilitada).
O que fazer hoje
Atualize para Kirby 4.9.4 ou 5.4.4 (ou superior) para corrigir a vulnerabilidade.
A esteira
Coletado→
Auditado→
Redigido→
Publicado