平台
php
组件
getkirby/cms
修复版本
3.9.9
3.10.1
4.0.1
3.9.8.3
CVE-2025-30207 是 getkirby/cms 中的路径遍历漏洞。该漏洞允许攻击者通过利用PHP内置服务器访问敏感文件。该漏洞影响 getkirby/cms 版本小于等于 3.9.8.2 的系统,建议升级至 3.9.8.3 版本以解决此问题。
该路径遍历漏洞允许攻击者在 getkirby/cms 使用 PHP 内置服务器时,访问文件系统中的任意文件。攻击者可以读取服务器上的敏感信息,例如配置文件、数据库凭据或源代码。由于该漏洞仅影响使用 PHP 内置服务器的开发环境,因此生产环境通常不受影响。然而,如果开发环境与生产环境共享代码或配置,则可能存在风险。攻击者可能通过构造恶意的URL请求来触发此漏洞,例如包含 .. 和 / 路径分隔符的请求。
该漏洞已公开披露,但目前尚未观察到大规模利用。由于该漏洞仅影响使用 PHP 内置服务器的开发环境,因此实际风险相对较低。该漏洞已添加到 CISA KEV 目录中,建议关注后续的安全动态。
Developers and system administrators using getkirby/cms in local development environments with PHP's built-in web server are at the highest risk. Shared hosting environments that default to PHP's built-in server for development purposes are also potentially vulnerable. Those using Kirby CMS for local testing or prototyping are particularly susceptible.
• php: Check for the presence of router.php in the document root and verify that PHP's built-in web server is not enabled in production.
ps aux | grep -i php-fpm• generic web: Examine access logs for unusual file requests containing .. sequences.
grep '../' /var/log/apache2/access.logdisclosure
漏洞利用状态
EPSS
0.59% (69% 百分位)
CISA SSVC
最有效的缓解措施是升级 getkirby/cms 至 3.9.8.3 或更高版本。如果无法立即升级,则应避免在 getkirby/cms 中使用 PHP 内置服务器。建议使用 Apache、Nginx 或 Caddy 等专业的 Web 服务器。如果必须使用 PHP 内置服务器进行开发,请确保限制其访问权限,并定期审查文件系统中的敏感文件。此外,可以考虑使用 Web 应用防火墙 (WAF) 来检测和阻止恶意的路径遍历请求。
升级 Kirby 到 3.9.8.3、3.10.1.2 或 4.7.1 版本,或更高版本。这修复了在 PHP 内置服务器中使用时路由器的路径遍历漏洞。如果无法立即升级,请避免在生产环境中 PHP 内置服务器。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-30207 是 getkirby/cms 中发现的路径遍历漏洞,允许攻击者访问文件系统中的敏感文件。
如果您使用的是 getkirby/cms 版本小于等于 3.9.8.2,并且使用 PHP 内置服务器,则可能受到影响。
升级 getkirby/cms 至 3.9.8.3 或更高版本。如果无法升级,请避免使用 PHP 内置服务器。
目前尚未观察到大规模利用,但建议保持警惕并及时更新系统。
请访问 getkirby/cms 的官方网站或 GitHub 仓库,查找相关安全公告。