php · getkirby/cmsCrítico

Kirby CMS: Vulnerabilidade XSS no campo writer (CVE pendente) corrigida nas versões 4.9.4 e 5.4.4

Os campos link e email do writer field aceitavam URLs com JavaScript, permitindo ataques de self-XSS.

19 Jun 2026Leitura 1 minSeveridade: mexe agora

O que mudou

Os campos link e email do writer field aceitavam URLs com JavaScript, permitindo ataques de self-XSS. Corrigido com validação robusta contra esquemas de URL perigosos.

Quem isso afeta

Sites Kirby que usam o writer field em qualquer blueprint e plugins do Painel que utilizam o componente <k-writer>.

O que fazer hoje

Atualize imediatamente para Kirby 4.9.4, 5.4.4 ou versão superior.

A esteira

Coletado→ Auditado→ Redigido→ Publicado

Fonte

GitHub Advisory · getkirby/cms

Kirby CMS: Vulnerabilidade XSS no campo writer (CVE pendente) corrigida nas versões 4.9.4 e 5.4.4

O que mudou

Quem isso afeta

O que fazer hoje

Mais sobre getkirby/cms

getgrav/grav: Backup endpoint vaza hash de senha e caminho do sistema

Kirby CMS: Correção de injeção de cabeçalho HTTP via Remote (CVE pendente)