CVE-2020-26253 in Kirbyinformación

Resumen

por VulDB • 2026-06-11

Kirby es un CMS. En Kirby CMS (getkirby/cms) anterior a la versión 3.3.6, y en el Panel de Kirby anterior a la versión 2.5.14, existe una vulnerabilidad que permite acceder al panel de administración si se aloja en un dominio .dev. Para proteger las nuevas instalaciones en servidores públicos que aún no tienen una cuenta de administrador para el Panel, bloqueamos por defecto el registro de cuentas allí. Esta es una función de seguridad implementada hace años en Kirby 2. Ayuda a evitar que olvides registrar tu primera cuenta de administrador en un servidor público. En este caso – sin nuestro bloqueo de seguridad – alguien podría teóricamente encontrar tu sitio, descubrir que está ejecutando Kirby, acceder al Panel y luego registrar la cuenta primero. Es una situación poco probable, pero sigue siendo un riesgo cierto. Para poder registrar la primera cuenta del Panel en un servidor público, debes forzar el instalador mediante una configuración de archivo. Esto ayuda a impulsar todas las buenas prácticas registrando tu primera cuenta del Panel en tu máquina local y subirla junto con el resto del sitio. Esta implementación del bloqueo de instalación en versiones anteriores de Kirby 3.3.6 asumía que los dominios .dev son locales, lo cual ya no es cierto. En ese momento esos dominios se hicieron públicamente disponibles. Esto significa que nuestro bloqueo de instalación ya no funciona como esperaba si usas un dominio .dev para tu sitio Kirby. Además la verificación local también puede fallar si tu sitio está detrás de un proxy inverso. Solo estás afectado si usas un dominio .dev o tu sitio está detrás de un proxy inverso y aún no has registrado tu primera cuenta del Panel en el servidor público, alguien encuentra tu sitio e intenta iniciar sesión en `yourdomain.dev/panel` antes que registres tu primera cuenta. No estás afectado si ya creaste una o varias cuentas del Panel (sin importar si es en un dominio .dev o detrás de un proxy inverso). El problema ha sido parcheado en Kirby 3.3.6. Por favor actualiza a esta versión o posterior para corregir la vulnerabilidad.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub, Inc.

Reservar

2020-10-01

Divulgación

2020-12-08

Moderación

aceptado

Artículo

VDB-165685

CPE

listo

EPSS

0.00561

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!