Platform
php
Component
getkirby/cms
Opgelost in
3.9.9
3.10.1
4.0.1
3.9.8.3
CVE-2025-30207 beschrijft een Path Traversal kwetsbaarheid in getkirby/cms, specifiek in omgevingen die PHP's ingebouwde webserver gebruiken. Deze kwetsbaarheid stelt een aanvaller in staat om potentieel bestanden buiten de toegestane map te benaderen. De kwetsbaarheid treft versies van getkirby/cms tot en met 3.9.8.2. Een fix is beschikbaar in versie 3.9.8.3.
De impact van deze Path Traversal kwetsbaarheid is beperkt tot ontwikkelomgevingen die PHP's ingebouwde webserver gebruiken. Een succesvolle exploitatie kan een aanvaller toegang geven tot gevoelige bestanden op de server, zoals configuratiebestanden of broncode. Hoewel de kwetsbaarheid geen directe RCE (Remote Code Execution) mogelijk maakt, kan de blootgestelde informatie gebruikt worden voor verdere aanvallen. Het is belangrijk te benadrukken dat websites die draaien op reguliere webservers zoals Apache, Nginx of Caddy niet door deze kwetsbaarheid worden bedreigd.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-05-13. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de Path Traversal aard van de kwetsbaarheid maakt exploitatie potentieel mogelijk. De KEV status is momenteel onbekend. De kwetsbaarheid is specifiek relevant voor ontwikkelomgevingen en heeft geen impact op productieomgevingen die gebruik maken van reguliere webservers.
Developers and system administrators using getkirby/cms in local development environments with PHP's built-in web server are at the highest risk. Shared hosting environments that default to PHP's built-in server for development purposes are also potentially vulnerable. Those using Kirby CMS for local testing or prototyping are particularly susceptible.
• php: Check for the presence of router.php in the document root and verify that PHP's built-in web server is not enabled in production.
ps aux | grep -i php-fpm• generic web: Examine access logs for unusual file requests containing .. sequences.
grep '../' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.59% (69% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2025-30207 is het updaten van getkirby/cms naar versie 3.9.8.3 of hoger. Indien een directe upgrade niet mogelijk is, is het sterk aan te raden om PHP's ingebouwde webserver niet te gebruiken voor productieomgevingen. Gebruik in plaats daarvan een dedicated webserver zoals Apache of Nginx. Als tijdelijke workaround kan het beperken van de rechten van de PHP-processen helpen om de impact van een succesvolle exploitatie te verminderen. Na de upgrade, controleer de serverlogs op verdachte activiteit.
Werk Kirby bij naar versie 3.9.8.3, 3.10.1.2 of 4.7.1, of een latere versie. Dit corrigeert de path traversal kwetsbaarheid in de router bij gebruik van de ingebouwde PHP server. Indien u niet direct kunt updaten, vermijd dan het gebruik van de ingebouwde PHP server in productieomgevingen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-30207 is a Path Traversal vulnerability affecting getkirby/cms versions up to 3.9.8.2 when using PHP's built-in web server, allowing attackers to potentially access sensitive files.
You are affected if you are using getkirby/cms version 3.9.8.2 or earlier and are using PHP's built-in web server in your environment. Sites using Apache, nginx, or Caddy are not affected.
Upgrade getkirby/cms to version 3.9.8.3 or later. Alternatively, disable PHP's built-in web server in production environments.
As of the current date, there are no confirmed reports of active exploitation of CVE-2025-30207.
Refer to the official getkirby/cms security advisory on their website or GitHub repository for the most up-to-date information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.