Kirby CMS: vulnerabilidade de criação de conta admin via cabeçalhos de proxy reverso

A verificação `isLocal` na lógica de instalação do Painel do Kirby não tratava corretamente os cabeçalhos `Forwarded: for=...`, `X-Client-IP` ou `X-Real-IP`, permitindo que atacantes remotos criassem uma conta de administrador inicial em sites sem usuários existentes atrás de um proxy reverso que define esses cabeçalhos.

Sites Kirby sem contas de usuário configuradas, executados em servidores publicamente acessíveis atrás de um proxy reverso que define os cabeçalhos `Forwarded: for=...`, `X-Client-IP` ou `X-Real-IP`.

Atualize para Kirby 4.9.4 ou 5.4.4 (ou superior) para corrigir a vulnerabilidade. Se não for possível atualizar, crie manualmente uma conta de administrador inicial ou desabilite a API REST com `'api' => false` no config.php.