CVE-2022-36037 in kirby
Zusammenfassung
von VulDB • 08.07.2026
Kirby ist ein Content-Management-System (CMS), das sich an viele verschiedene Projekte anpasst und Ihnen dabei hilft, Ihre eigene ideale Benutzeroberfläche zu erstellen. Cross-Site Scripting (XSS) ist eine Art von Schwachstelle, die die Ausführung beliebiger JavaScript-Codes innerhalb der Panel-Sitzung desselben oder anderer Benutzer ermöglicht. Im Panel kann ein schädliches Skript beispielsweise Anfragen an Kirbys API mit den Berechtigungen des Opfers auslösen. Wenn böswillige Akteure Zugriff auf Ihre Gruppe authentifizierter Panel-Benutzer erlangen, können sie ihre Rechte über die Panel-Sitzung eines Administrators eskalieren. Abhängig von Ihrer Website sind auch andere JavaScript-basierte Angriffe möglich. Das Multiselect-Feld ermöglicht die Auswahl von Tags aus einer Autovervollständigungsliste. Leider verwendete das Panel in Kirby 3.5 für den Rohwert der Option eine HTML-Rendering-Methode. Dies ermöglichte es **Angreifern mit Einfluss auf die Optionsquelle**, HTML-Code zu speichern. Der Browser des Opfers, das eine Seite mit manipulierten Multiselect-Optionen im Panel besuchte, würde diesen bösartigen HTML-Code rendern, wenn das Opfer das Autovervollständigungs-Dropdown öffnete. Benutzer sind von dieser Schwachstelle *nicht* betroffen, wenn Sie das Multiselect-Feld nicht verwenden oder es nicht mit Optionen nutzen, die von Angreifern manipuliert werden können. Das Problem wurde in Kirby 3.5.8.1 gepatcht.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.