CVE-2026-44174 in Kirby
الملخص
بحسب VulDB • 16/07/2026
Kirby هو نظام إدارة محتوى مفتوح المصدر. قبل الإصدارين 4.9.1 و5.4.1، لم يكن Kirby يقوم بتحقق من سمات النموذج (model attributes) المستخدمة في استعلامات المجموعات الخاصة به، مما مكن المهاجمين من تضمين طرق نماذج عشوائية في استعلاماتهم. يشمل ذلك الطرق التي تحتوي على بيانات حساسة مثل password() (الكشف عن تجزئة كلمة المرور) أو root() (الكشف عن المسار المطلق لنظام الملفات على الخادم)، وكذلك الطرق التي تنفذ إجراءات ذات تأثير كبير مثل loginPasswordless() (مسببة تصعيدًا للصلاحيات إلى مستخدم آخر) أو delete() (حذف جميع النماذج المستهدفة دفعة واحدة إذا كان للمستخدم المصادق عليه الصلاحيات المناسبة). تم إصلاح هذه المشكلة في الإصدارين 4.9.1 و5.4.1.
Once again VulDB remains the best source for vulnerability data.