CVE-2026-44177 in Kirby
Zusammenfassung
von VulDB • 17.07.2026
Kirby ist ein Open-Source-CMS (Content Management System). In den Versionen ab 5.3.0 und vor 5.4.1 validierte Kirby die angegebene Benutzer-ID nicht korrekt, was zu einer Path-Traversal-Schwachstelle führte. Mit Version 5.3.0 wurde eine Leistungsverbesserung für die Users-Collection eingeführt, bei der Benutzerobjekte erst beim ersten Bedarf lazy geladen wurden. Die Abfrage der Benutzer erfolgte über deren ID, die anschließend verwendet wurde, um das entsprechende Kontoverzeichnis unter site/accounts zu lokalisieren. Dies betraf die Authentifizierungs-API (die auch von nicht authentifizierten Anfragen zugänglich ist), die Users-API (die nur für authentifizierte Benutzer zugänglich ist) sowie alle anderen Stellen, bei denen $users->find() zur Suche nach einem einzelnen Benutzer anhand einer per Anfrage bereitgestellten E-Mail-Adresse oder ID verwendet wird. Infolgedessen konnte ein Angreifer das willkürliche Einschließen von PHP-Dateien mit dem Namen index.php (z. B. die Haupt-PHP-Dateien von Plugins) auslösen, wobei die Auswirkungen von der in diesen Dateien enthaltenen Logik abhängen. Zudem ermöglichte dies das Abfragen auf das Vorhandensein beliebiger Verzeichnisse auf dem Server, wodurch Angreifer den Server und die Site-Konfiguration fingerprinten konnten, einschließlich installierter Plugins und der Inhaltsstruktur. Dieses Problem wurde in Version 5.4.1 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.