Plateforme
php
Composant
getkirby/cms
Corrigé dans
3.9.9
3.10.1
4.0.1
3.9.8.3
Cette vulnérabilité de type Path Traversal affecte getkirby/cms, spécifiquement les versions inférieures ou égales à 3.9.8.2. Elle exploite une faille dans le routeur du serveur PHP intégré, permettant à un attaquant d'accéder à des fichiers sensibles. Une version corrigée, 3.9.8.3, est disponible et son application est fortement recommandée.
L'impact principal de cette vulnérabilité réside dans la possibilité pour un attaquant d'accéder à des fichiers arbitraires sur le système de fichiers du serveur, à condition qu'il utilise le serveur PHP intégré de Kirby. Cela peut inclure des fichiers de configuration contenant des informations sensibles, des clés API, ou même le code source de l'application. Bien que cette vulnérabilité ne concerne que les environnements de développement utilisant le serveur PHP intégré, elle représente un risque significatif pour les développeurs qui pourraient exposer accidentellement des informations confidentielles. L'attaquant pourrait potentiellement obtenir un accès non autorisé à des données sensibles, compromettre la sécurité du système et, dans certains cas, exécuter du code malveillant.
Cette vulnérabilité est spécifique aux environnements de développement utilisant le serveur PHP intégré de Kirby. Elle n'affecte pas les sites déployés sur des serveurs web dédiés. Aucune information concernant une exploitation active n'est disponible à ce jour. La vulnérabilité a été publiée le 2025-05-13. Le score CVSS est de 2.5 (LOW), indiquant une faible probabilité d'exploitation.
Developers and system administrators using getkirby/cms in local development environments with PHP's built-in web server are at the highest risk. Shared hosting environments that default to PHP's built-in server for development purposes are also potentially vulnerable. Those using Kirby CMS for local testing or prototyping are particularly susceptible.
• php: Check for the presence of router.php in the document root and verify that PHP's built-in web server is not enabled in production.
ps aux | grep -i php-fpm• generic web: Examine access logs for unusual file requests containing .. sequences.
grep '../' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.59% (percentile 69%)
CISA SSVC
La mitigation principale consiste à mettre à jour getkirby/cms vers la version 3.9.8.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à niveau n'est pas immédiatement possible, il est fortement déconseillé d'utiliser le serveur PHP intégré de Kirby en production. Utilisez plutôt un serveur web dédié comme Apache, Nginx ou Caddy. En attendant la mise à jour, assurez-vous que le répertoire racine du site est correctement configuré et que les permissions des fichiers sont restrictives pour empêcher l'accès non autorisé. Après la mise à jour, vérifiez que le routeur fonctionne correctement et qu'il n'est pas possible d'accéder à des fichiers sensibles via des requêtes malformées.
Mettez à jour Kirby à la version 3.9.8.3, 3.10.1.2 ou 4.7.1, ou à une version ultérieure. Cela corrige la vulnérabilité de traversal de chemin dans le routeur lors de l'utilisation du serveur intégré de PHP. Si vous ne pouvez pas mettre à jour immédiatement, évitez d'utiliser le serveur intégré de PHP dans les environnements de production.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-30207 is a Path Traversal vulnerability affecting getkirby/cms versions up to 3.9.8.2 when using PHP's built-in web server, allowing attackers to potentially access sensitive files.
You are affected if you are using getkirby/cms version 3.9.8.2 or earlier and are using PHP's built-in web server in your environment. Sites using Apache, nginx, or Caddy are not affected.
Upgrade getkirby/cms to version 3.9.8.3 or later. Alternatively, disable PHP's built-in web server in production environments.
As of the current date, there are no confirmed reports of active exploitation of CVE-2025-30207.
Refer to the official getkirby/cms security advisory on their website or GitHub repository for the most up-to-date information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.