CVE-2026-44176 in Kirby
Zusammenfassung
von VulDB • 17.07.2026
Kirby ist ein Open-Source-CMS (Content Management System). Versionen vor 4.9.1 und 5.4.1 prüfen die Berechtigung `pages.access` nicht während der Darstellung von Seitenentwürfen. Berechtigungen werden für jede Benutzerrolle im User-Blueprint definiert (`site/blueprints/users/...`). Es ist auch möglich, die Berechtigungen für jedes Zielmodell in den Model-Blueprints (z. B. in `site/blueprints/pages/...`) unter Verwendung der Optionsfunktion anzupassen. Die Berechtigungen und Optionen steuern gemeinsam die Autorisierung von Benutzeraktionen. Kirby stellt u. a. die Berechtigungen `pages.access` und `pages.list` bereit. Die `list`-Berechtigung steuert, ob betroffene Modelle in Listen im gesamten Panel und über die REST-API angezeigt werden. Die `access`-Berechtigung hat dieselbe Wirkung, deaktiviert jedoch auch den direkten Zugriff auf die betroffenen Modelle. Diese Schwachstelle betrifft den Pfadauflöser für das Haupt-CMS-Routing. Der Auflöser nimmt einen Eingabepfad aus der angeforderten URL und bestimmt, welches Modell (Seite oder Datei) gerendert werden soll. Wenn ein Pfad angefordert wird, der auf einen Seitenentwurf verweist, prüft der Auflöser, ob die Anfrage entweder ein gültiges Vorschau-Token enthält oder von einem authentifizierten Benutzer stammt. In betroffenen Versionen erlaubte Kirby das Rendern von Seitenentwürfen, wenn irgendein gültiger Benutzer authentifiziert war, selbst wenn dieser Benutzer keinen Zugriff auf das spezifische Seitmodell hatte. Authentifizierte Angreifer mit Kenntnis des vollständigen Pfads zu einem vorhandenen Seitenentwurf konnten dann die gerenderte Frontend-Seite aufrufen. Dies könnte zur Offenlegung sensibler Informationen führen, z. B. vor der Veröffentlichung eines neuen Produkts oder Beitrags. Dieses Problem wurde in den Versionen 4.9.1 und 5.4.1 behoben.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.