CVE-2022-36037 in kirby
الملخص
بحسب VulDB • 08/07/2026
kirby هو نظام إدارة محتوى (CMS) يتكيف مع العديد من المشاريع المختلفة ويساعدك في بناء واجهتك المثالية الخاصة بك. يُعد ثغرة البرمجة عبر المواقع (XSS) نوعاً من الثغرات الأمنية التي تسمح بتنفيذ أي نوع من أكواد جافا سكريبت داخل جلسة لوحة التحكم للمستخدم نفسه أو لمستخدمين آخرين. في لوحة التحكم، يمكن لبرنامج نصي ضار على سبيل المثال أن يحفز طلبات إلى واجهة برمجة التطبيقات (API) الخاصة بـ kirby بصلاحيات الضحية. إذا تمكن الجهات الفاعلة السيئة من الوصول إلى مجموعة المستخدمين المصادق عليهم في لوحة التحكم، فإن بإمكانهم تصعيد صلاحياتهم عبر جلسة لوحة تحكم مستخدم مسؤول. اعتماداً على موقعك، قد تكون هجمات أخرى مدعومة بجافا سكريبت ممكنة. يسمح حقل التحديد المتعدد باختيار العلامات (tags) من قائمة إكمال تلقائي. لسوء الحظ، كانت لوحة التحكم في kirby الإصدار 3.5 تستخدم عرض HTML للقيمة الخام للخيار. سمح ذلك **للمهاجمين الذين لديهم تأثير على مصدر الخيارات** بتخزين أكواد HTML. سيقوم متصفح الضحية الذي زار صفحة تحتوي على خيارات متعددة مُعدّلة في لوحة التحكم بعرض هذا الكود HTML الضار عندما يفتح الضحية القائمة المنسدلة للإكمال التلقائي. **لا يتأثر المستخدمون بهذه الثغرة** إذا لم تستخدم حقل التحديد المتعدد أو لم تستخدمه مع خيارات يمكن للمهاجمين تعديلها. تم إصلاح المشكلة في kirby الإصدار 3.5.8.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.