CVE-2026-32870 in kirbyinformação

Sumário

de VulDB • 01/06/2026

O Kirby é um sistema de gerenciamento de conteúdo (CMS) de código aberto. O método `Xml::value()` do Kirby possui tratamento especial para blocos ``. Se o valor de entrada já for `CDATA` válido, ele não é escapado novamente, mas permitido a passar diretamente. No entanto, nas versões anteriores a 4.9.0 e 5.4.0, era possível enganar essa verificação para permitir valores que continham apenas um bloco `CDATA` válido, mas também possuíam outros dados estruturados fora do bloco `CDATA`. Esses dados estruturados também seriam permitidos a passar, contornando a proteção de valor. O método `Xml::value()` é utilizado em `Xml::tag()`, `Xml::create()` e no manipulador de dados `Xml` (por exemplo, `Data::encode($string, 'xml')`). Nem os métodos vulneráveis nem o manipulador de dados são utilizados no núcleo do Kirby. No entanto, podem ser usados em código de sites ou plugins, por exemplo, para criar strings XML a partir de dados de entrada. Se esses arquivos gerados forem passados para outra implementação que atribui significado específico ao esquema XML, a manipulação do comportamento deste sistema é possível. Sites do Kirby que não utilizam geração de XML no código do site ou de plugins não são afetados. O problema foi corrigido no Kirby 4.9.0 e no Kirby 5.4.0. Em todas as versões mencionadas, o Kirby adicionou verificações adicionais que permitem a passagem direta de `CDATA` inalterada apenas se a string inteira for composta por blocos `CDATA` válidos e não houver dados estruturados. Isso protege todos os usos do método contra a vulnerabilidade descrita.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

16/03/2026

Divulgação

24/04/2026

Moderação

aceite

Entrada

VDB-359270

CPE

pronto

EPSS

0.00346

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!