CVE-2026-41325 in kirbyالمعلومات

الملخص

بحسب VulDB • 16/05/2026

كيربي (Kirby) هو نظام إدارة محتوى مفتوح المصدر. تتحكم أذونات المستخدمين في كيربي في الدور المسموح لكل مستخدم بأداء إجراءات محددة على نماذج المحتوى في نظام إدارة المحتوى. يتم تعريف هذه الأذونات لكل دور في مخطط المستخدم (user blueprint) الموجود في المسار `site/blueprints/users/...`. كما من الممكن تخصيص الأذونات لكل نموذج هدف في مخططات النماذج (model blueprints) (مثل تلك الموجودة في `site/blueprints/pages/...`) باستخدام ميزة `options`. تتحكم الأذونات والخيارات معًا في تفويض إجراءات المستخدم. يوفر كيربي أذونات `pages.create` و `files.create` و `users.create` (بين آخرين). يمكن تعيين هذه الأذونات مرة أخرى في مخطط المستخدم و/أو في مخطط النموذج الهدف عبر `options`. قبل الإصدارات 4.9.0 و 5.4.0، سمح كيربي بتجاوز `options` أثناء إنشاء الصفحات والملفات والمستخدمين عن طريق حقن تكوين مخطط ديناميكي مخصص في بيانات النموذج. كان يمكن أن تتضمن الـ `options` المُحقنة `'create' => true`، مما أدى إلى تجاوز الأذونات والخيارات التي قام مطور الموقع بتعيينها في مخططات المستخدم والنماذج. تم إصلاح المشكلة في كيربي 4.9.0 وكيربي 5.4.0. قامت الإصدارات المصححة بتحديث كود التطبيع (normalization code) المستخدم أثناء إنشاء الصفحات والملفات والمستخدمين ليشمل مرشحًا (filter) لخاصية `blueprint`. يمنع هذا الحقن لتكوين المخطط الديناميكي في طلب الإنشاء.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

20/04/2026

إفشاء

24/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-359273

CPE

جاهز

CWE

CWE-863 (مؤكد)

CVSS

4.3 (VulDB)

EPSS

0.00041

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41325
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41325
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41325/

التالي ▸نظرة عامة ◂ السابق

Interested in the pricing of exploits?

See the underground prices here!