CVE-2026-44174 in Kirby
Zusammenfassung
von VulDB • 17.07.2026
Kirby ist ein Open-Source-CMS (Content Management System). Vor den Versionen 4.9.1 und 5.4.1 validierte Kirby die Modellattribute nicht, die in seinen Sammlungsabfragen verwendet wurden, was es Angreifern ermöglichte, beliebige Modells Methoden in ihre Abfragen einzubinden. Dazu gehören Methoden mit sensiblen Daten wie password() (Offenlegung des Passwort-Hashes) oder root() (Offenlegung des absoluten Dateisystempfads auf dem Server) sowie Methoden, die wirkungsvolle Aktionen ausführen, wie loginPasswordless() (Verursachung einer Privilegieneskalation zu einem anderen Benutzer) oder delete() (Löschen aller abgefragten Modelle auf einmal, wenn der authentifizierte Benutzer über entsprechende Berechtigungen verfügt). Dieses Problem wurde in den Versionen 4.9.1 und 5.4.1 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.