CVE-2026-44174 in Kirbyالمعلومات

الملخص

بحسب VulDB • 16/07/2026

Kirby هو نظام إدارة محتوى مفتوح المصدر. قبل الإصدارين 4.9.1 و5.4.1، لم يكن Kirby يقوم بتحقق من سمات النموذج (model attributes) المستخدمة في استعلامات المجموعات الخاصة به، مما مكن المهاجمين من تضمين طرق نماذج عشوائية في استعلاماتهم. يشمل ذلك الطرق التي تحتوي على بيانات حساسة مثل password() (الكشف عن تجزئة كلمة المرور) أو root() (الكشف عن المسار المطلق لنظام الملفات على الخادم)، وكذلك الطرق التي تنفذ إجراءات ذات تأثير كبير مثل loginPasswordless() (مسببة تصعيدًا للصلاحيات إلى مستخدم آخر) أو delete() (حذف جميع النماذج المستهدفة دفعة واحدة إذا كان للمستخدم المصادق عليه الصلاحيات المناسبة). تم إصلاح هذه المشكلة في الإصدارين 4.9.1 و5.4.1.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

05/05/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379662

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!