किर्बी में राउटर में पाथ ट्रावर्सल भेद्यता (path traversal vulnerability) PHP के अंतर्निहित सर्वर के लिए

यह भेद्यता हमलावर को PHP के अंतर्निहित वेब सर्वर का उपयोग करने वाले getkirby/cms इंस्टॉलेशन पर मनमाना फ़ाइलें पढ़ने की अनुमति दे सकती है। हमलावर संवेदनशील जानकारी, जैसे कॉन्फ़िगरेशन फ़ाइलें या स्रोत कोड तक पहुंच प्राप्त कर सकता है। चूंकि यह भेद्यता केवल स्थानीय विकास परिवेशों को प्रभावित करती है, इसलिए इसका वास्तविक दुनिया पर प्रभाव सीमित है, लेकिन यह संवेदनशील डेटा के जोखिम को प्रस्तुत करता है जो स्थानीय रूप से संग्रहीत है। यह भेद्यता विशेष रूप से उन डेवलपर्स के लिए चिंता का विषय है जो स्थानीय विकास के लिए PHP के अंतर्निहित वेब सर्वर का उपयोग करते हैं।

Developers and system administrators using getkirby/cms in local development environments with PHP's built-in web server are at the highest risk. Shared hosting environments that default to PHP's built-in server for development purposes are also potentially vulnerable. Those using Kirby CMS for local testing or prototyping are particularly susceptible.

• php: Check for the presence of router.php in the document root and verify that PHP's built-in web server is not enabled in production.

ps aux | grep -i php-fpm

• generic web: Examine access logs for unusual file requests containing .. sequences.

grep '../' /var/log/apache2/access.log

1. 2025-05-13Disclosure

   disclosure

1. आरक्षित2025-03-18
2. प्रकाशित2025-05-13
3. EPSS अद्यतन2026-03-23

सबसे प्रभावी शमन उपाय getkirby/cms को संस्करण 3.9.8.3 या बाद के संस्करण में अपग्रेड करना है। यदि अपग्रेड करना संभव नहीं है, तो PHP के अंतर्निहित वेब सर्वर का उपयोग करने से बचें और इसके बजाय Apache, Nginx या Caddy जैसे उत्पादन-ग्रेड वेब सर्वर का उपयोग करें। यदि आपको PHP के अंतर्निहित वेब सर्वर का उपयोग करना है, तो सुनिश्चित करें कि आपकी फ़ाइल अनुमतियाँ सही ढंग से कॉन्फ़िगर की गई हैं और संवेदनशील फ़ाइलों को वेब रूट से बाहर संग्रहीत किया गया है।

अंतिम अपडेट

5.4.2हाल ही में