Plataforma
php
Componente
getkirby/cms
Corrigido em
3.9.9
3.10.1
4.0.1
3.9.8.3
Uma vulnerabilidade de Path Traversal foi descoberta no getkirby/cms, afetando versões até 3.9.8.2. Esta falha permite que um atacante acesse arquivos arbitrários no servidor, comprometendo a confidencialidade dos dados. A vulnerabilidade é explorável apenas em ambientes que utilizam o servidor web integrado do PHP, comum em desenvolvimento local. A correção está disponível na versão 3.9.8.3.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante acesse arquivos sensíveis no servidor, como arquivos de configuração, código-fonte ou dados de usuários. Em um cenário de desenvolvimento local, um atacante que obtém acesso ao servidor pode comprometer informações confidenciais, como credenciais de banco de dados ou chaves de API. Embora a vulnerabilidade não afete diretamente sites em produção que utilizam servidores web tradicionais, ela representa um risco significativo para desenvolvedores e ambientes de teste.
A vulnerabilidade foi divulgada em 2025-05-13. Não há relatos públicos de exploração ativa. A probabilidade de exploração é considerada baixa devido à necessidade de acesso ao ambiente de desenvolvimento local e à sua natureza específica. Não foi adicionada ao KEV (CISA Known Exploited Vulnerabilities).
Developers and system administrators using getkirby/cms in local development environments with PHP's built-in web server are at the highest risk. Shared hosting environments that default to PHP's built-in server for development purposes are also potentially vulnerable. Those using Kirby CMS for local testing or prototyping are particularly susceptible.
• php: Check for the presence of router.php in the document root and verify that PHP's built-in web server is not enabled in production.
ps aux | grep -i php-fpm• generic web: Examine access logs for unusual file requests containing .. sequences.
grep '../' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.59% (percentil 69%)
CISA SSVC
A mitigação primária é atualizar o getkirby/cms para a versão 3.9.8.3 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, evite o uso do servidor web integrado do PHP em ambientes de desenvolvimento. Utilize um servidor web como Apache, nginx ou Caddy para servir o site. Monitore logs do servidor em busca de tentativas de acesso a arquivos fora do diretório esperado. Implemente regras de firewall para restringir o acesso ao servidor web apenas a endereços IP confiáveis.
Atualize Kirby para a versão 3.9.8.3, 3.10.1.2 ou 4.7.1, ou a uma versão posterior. Isso corrige a vulnerabilidade de path traversal no enrutador quando o servidor embutido do PHP é utilizado. Se não puder atualizar imediatamente, evite usar o servidor embutido do PHP em ambientes de produção.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-30207 is a Path Traversal vulnerability affecting getkirby/cms versions up to 3.9.8.2 when using PHP's built-in web server, allowing attackers to potentially access sensitive files.
You are affected if you are using getkirby/cms version 3.9.8.2 or earlier and are using PHP's built-in web server in your environment. Sites using Apache, nginx, or Caddy are not affected.
Upgrade getkirby/cms to version 3.9.8.3 or later. Alternatively, disable PHP's built-in web server in production environments.
As of the current date, there are no confirmed reports of active exploitation of CVE-2025-30207.
Refer to the official getkirby/cms security advisory on their website or GitHub repository for the most up-to-date information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.