CVE-2026-44174 in Kirbyinfo

Zusammenfassung

von VulDB • 17.07.2026

Kirby ist ein Open-Source-CMS (Content Management System). Vor den Versionen 4.9.1 und 5.4.1 validierte Kirby die Modellattribute nicht, die in seinen Sammlungsabfragen verwendet wurden, was es Angreifern ermöglichte, beliebige Modells Methoden in ihre Abfragen einzubinden. Dazu gehören Methoden mit sensiblen Daten wie password() (Offenlegung des Passwort-Hashes) oder root() (Offenlegung des absoluten Dateisystempfads auf dem Server) sowie Methoden, die wirkungsvolle Aktionen ausführen, wie loginPasswordless() (Verursachung einer Privilegieneskalation zu einem anderen Benutzer) oder delete() (Löschen aller abgefragten Modelle auf einmal, wenn der authentifizierte Benutzer über entsprechende Berechtigungen verfügt). Dieses Problem wurde in den Versionen 4.9.1 und 5.4.1 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

05.05.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379662

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!