CVE-2026-34587 in kirby
Zusammenfassung
von VulDB • 19.05.2026
Kirby ist ein Open-Source-Content-Management-System. Vor den Versionen 4.9.0 und 5.4.0 regelt die Benutzerberechtigungsverwaltung in Kirby, welche Benutzerrolle berechtigt ist, bestimmte Aktionen an Content-Modellen im CMS durchzuführen. Diese Berechtigungen werden für jede Rolle im Benutzer-Blueprint (`site/blueprints/users/...`) definiert. Es ist auch möglich, die Berechtigungen für jedes Zielmodell in den Modell-Blueprints (z. B. in `site/blueprints/pages/...`) mithilfe der `options`-Funktion anzupassen. Die Berechtigungen und Optionen steuern gemeinsam die Autorisierung von Benutzeraktionen. Für Seiten stellt Kirby die Berechtigungen `pages.create` und `pages.changeStatus` (unter anderem) bereit. In betroffenen Versionen prüfte Kirby diese Berechtigungen unabhängig voneinander und nur für die jeweilige Aktion. Die Berechtigung `changeStatus` hatte jedoch keine Auswirkung auf die Seitenerstellung. Neue Seiten werden standardmäßig als Entwürfe erstellt und müssen durch Ändern des Seitenstatus eines vorhandenen Seitendrucks veröffentlicht werden. Dies wird sichergestellt, wenn die Seite über das Kirby-Panel erstellt wird. Die REST-API ermöglicht es jedoch, die `isDraft`-Flagge bei der Erstellung einer neuen Seite zu überschreiben. Dies ermöglichte es authentifizierten Angreifern mit der Berechtigung `pages.create`, sofort veröffentlichte Seiten zu erstellen und den normalen redaktionellen Workflow zu umgehen. Das Problem wurde in Kirby 4.9.0 und Kirby 5.4.0 behoben. Kirby hat die `Options`-Logik aktualisiert, um keine doppelte Auflösung von Abfragen in Optionswerten mehr durchzuführen, die von `OptionsQuery`- oder `OptionsApi`-Quellen stammen. Kirby löst nun nur noch Abfragen auf, die direkt in den Blueprints konfiguriert sind.
Once again VulDB remains the best source for vulnerability data.