LOWCVE-2025-30207CVSS 2.5

Kirby 在 PHP 内置服务器的路由器中存在路径遍历漏洞

Q: 什么是 CVE-2025-30207 — 路径遍历漏洞在 getkirby/cms 中?

CVE-2025-30207 是 getkirby/cms 中发现的路径遍历漏洞，允许攻击者访问文件系统中的敏感文件。

Q: 我是否受到 CVE-2025-30207 在 getkirby/cms 中影响?

如果您使用的是 getkirby/cms 版本小于等于 3.9.8.2，并且使用 PHP 内置服务器，则可能受到影响。

Q: 我如何修复 CVE-2025-30207 在 getkirby/cms 中?

升级 getkirby/cms 至 3.9.8.3 或更高版本。如果无法升级，请避免使用 PHP 内置服务器。

Q: CVE-2025-30207 是否正在被积极利用?

目前尚未观察到大规模利用，但建议保持警惕并及时更新系统。

Q: 在哪里可以找到 getkirby/cms 官方关于 CVE-2025-30207 的公告?

请访问 getkirby/cms 的官方网站或 GitHub 仓库，查找相关安全公告。

平台

php

组件

getkirby/cms

修复版本

3.9.9

3.10.1

4.0.1

3.9.8.3

AI Confidence: highNVDEPSS 0.6%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-30207 是 getkirby/cms 中的路径遍历漏洞。该漏洞允许攻击者通过利用PHP内置服务器访问敏感文件。该漏洞影响 getkirby/cms 版本小于等于 3.9.8.2 的系统，建议升级至 3.9.8.3 版本以解决此问题。

影响与攻击场景

该路径遍历漏洞允许攻击者在 getkirby/cms 使用 PHP 内置服务器时，访问文件系统中的任意文件。攻击者可以读取服务器上的敏感信息，例如配置文件、数据库凭据或源代码。由于该漏洞仅影响使用 PHP 内置服务器的开发环境，因此生产环境通常不受影响。然而，如果开发环境与生产环境共享代码或配置，则可能存在风险。攻击者可能通过构造恶意的URL请求来触发此漏洞，例如包含 .. 和 / 路径分隔符的请求。

利用背景

该漏洞已公开披露，但目前尚未观察到大规模利用。由于该漏洞仅影响使用 PHP 内置服务器的开发环境，因此实际风险相对较低。该漏洞已添加到 CISA KEV 目录中，建议关注后续的安全动态。

哪些人处于风险中翻译中…

Developers and system administrators using getkirby/cms in local development environments with PHP's built-in web server are at the highest risk. Shared hosting environments that default to PHP's built-in server for development purposes are also potentially vulnerable. Those using Kirby CMS for local testing or prototyping are particularly susceptible.

检测步骤翻译中…

• php: Check for the presence of router.php in the document root and verify that PHP's built-in web server is not enabled in production.

ps aux | grep -i php-fpm

• generic web: Examine access logs for unusual file requests containing .. sequences.

grep '../' /var/log/apache2/access.log

攻击时间线

2025-05-13Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

EPSS

0.59% (69% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件getkirby/cms

供应商osv

影响范围修复版本

< 3.9.8.3 – < 3.9.8.33.9.9

>= 3.10.0, < 3.10.1.2 – >= 3.10.0, < 3.10.1.23.10.1

>= 4.0.0, < 4.7.1 – >= 4.0.0, < 4.7.14.0.1

—3.9.8.3

软件包信息

最后更新: 5.4.2最近

弱点分类 (CWE)

CWE-22 CWE-23

时间线

已保留2025-03-18
发布日期2025-05-13
EPSS 更新日期2026-03-23

披露后-7天发布补丁

缓解措施和替代方案

最有效的缓解措施是升级 getkirby/cms 至 3.9.8.3 或更高版本。如果无法立即升级，则应避免在 getkirby/cms 中使用 PHP 内置服务器。建议使用 Apache、Nginx 或 Caddy 等专业的 Web 服务器。如果必须使用 PHP 内置服务器进行开发，请确保限制其访问权限，并定期审查文件系统中的敏感文件。此外，可以考虑使用 Web 应用防火墙 (WAF) 来检测和阻止恶意的路径遍历请求。

修复方法

升级 Kirby 到 3.9.8.3、3.10.1.2 或 4.7.1 版本，或更高版本。这修复了在 PHP 内置服务器中使用时路由器的路径遍历漏洞。如果无法立即升级，请避免在生产环境中 PHP 内置服务器。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-30207 — 路径遍历漏洞在 getkirby/cms 中?

CVE-2025-30207 是 getkirby/cms 中发现的路径遍历漏洞，允许攻击者访问文件系统中的敏感文件。

我是否受到 CVE-2025-30207 在 getkirby/cms 中影响?

如果您使用的是 getkirby/cms 版本小于等于 3.9.8.2，并且使用 PHP 内置服务器，则可能受到影响。

我如何修复 CVE-2025-30207 在 getkirby/cms 中?

升级 getkirby/cms 至 3.9.8.3 或更高版本。如果无法升级，请避免使用 PHP 内置服务器。

CVE-2025-30207 是否正在被积极利用?

目前尚未观察到大规模利用，但建议保持警惕并及时更新系统。

在哪里可以找到 getkirby/cms 官方关于 CVE-2025-30207 的公告?

请访问 getkirby/cms 的官方网站或 GitHub 仓库，查找相关安全公告。

你的项目受影响吗?

上传你的依赖文件，立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE