CVE-2022-36037 in kirbyالمعلومات

الملخص

بحسب VulDB • 08/07/2026

kirby هو نظام إدارة محتوى (CMS) يتكيف مع العديد من المشاريع المختلفة ويساعدك في بناء واجهتك المثالية الخاصة بك. يُعد ثغرة البرمجة عبر المواقع (XSS) نوعاً من الثغرات الأمنية التي تسمح بتنفيذ أي نوع من أكواد جافا سكريبت داخل جلسة لوحة التحكم للمستخدم نفسه أو لمستخدمين آخرين. في لوحة التحكم، يمكن لبرنامج نصي ضار على سبيل المثال أن يحفز طلبات إلى واجهة برمجة التطبيقات (API) الخاصة بـ kirby بصلاحيات الضحية. إذا تمكن الجهات الفاعلة السيئة من الوصول إلى مجموعة المستخدمين المصادق عليهم في لوحة التحكم، فإن بإمكانهم تصعيد صلاحياتهم عبر جلسة لوحة تحكم مستخدم مسؤول. اعتماداً على موقعك، قد تكون هجمات أخرى مدعومة بجافا سكريبت ممكنة. يسمح حقل التحديد المتعدد باختيار العلامات (tags) من قائمة إكمال تلقائي. لسوء الحظ، كانت لوحة التحكم في kirby الإصدار 3.5 تستخدم عرض HTML للقيمة الخام للخيار. سمح ذلك **للمهاجمين الذين لديهم تأثير على مصدر الخيارات** بتخزين أكواد HTML. سيقوم متصفح الضحية الذي زار صفحة تحتوي على خيارات متعددة مُعدّلة في لوحة التحكم بعرض هذا الكود HTML الضار عندما يفتح الضحية القائمة المنسدلة للإكمال التلقائي. **لا يتأثر المستخدمون بهذه الثغرة** إذا لم تستخدم حقل التحديد المتعدد أو لم تستخدمه مع خيارات يمكن للمهاجمين تعديلها. تم إصلاح المشكلة في kirby الإصدار 3.5.8.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub, Inc.

حجز

15/07/2022

إفشاء

29/08/2022

الاعتدال

تمت الموافقة

إدخال

VDB-207570

EPSS

0.00694

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!