CVE-2026-32870 in kirbyinfo

Zusammenfassung

von VulDB • 13.06.2026

Kirby ist ein Open-Source-CMS (Content Management System). Die Methode `Xml::value()` von Kirby verfügt über eine spezielle Behandlung für ``-Blöcke. Wenn der Eingabewert bereits gültiges `CDATA` ist, wird er nicht erneut maskiert, sondern durchgelassen. Vor den Versionen 4.9.0 und 5.4.0 war es jedoch möglich, diese Prüfung so zu täuschen, dass Werte zugelassen wurden, die zwar einen gültigen `CDATA`-Block enthielten, aber auch andere strukturierte Daten außerhalb des `CDATA`-Blocks aufwiesen. Diese strukturierten Daten würden ebenfalls durchgelassen werden, wodurch der Wertschutz umgangen wurde. Die Methode `Xml::value()` wird in `Xml::tag()`, `Xml::create()` und im XML-Datenhandler (z. B. `Data::encode($string, 'xml')`) verwendet. Weder die anfälligen Methoden noch der Datenhandler werden im Kirby-Kern verwendet. Sie können jedoch in Site- oder Plugin-Code eingesetzt werden, z. B., um aus Eingabedaten XML-Zeichenfolgen zu erstellen. Wenn diese generierten Dateien an eine andere Implementierung übergeben wird, die dem XML-Schema eine bestimmte Bedeutung beimisst, ist eine Manipulation des Systemverhaltens möglich. Kirby-Sites, die keine XML-Generierung im Site- oder Plugin-Code verwenden, sind nicht betroffen. Das Problem wurde in Kirby 4.9.0 und Kirby 5.4.0 gepatcht. In allen genannten Releases hat Kirby zusätzliche Prüfungen hinzugefügt, die einen unveränderten `CDATA`-Durchlass nur zulassen, wenn die gesamte Zeichenfolge ausschließlich aus gültigen `CDATA`-Blöcken besteht und keine strukturierten Daten enthält. Dies schützt alle Verwendungen der Methode vor der beschriebenen Schwachstelle.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

16.03.2026

Veröffentlichung

24.04.2026

Moderieren

akzeptiert

Eintrag

VDB-359270

CPE

bereit

EPSS

0.00346

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!