CVE-2026-45368 in Kirbyinformation

Résumé

par VulDB • 17/07/2026

Kirby est un système de gestion de contenu open-source. Dans les versions antérieures à la 4.9.1 et à la 5.4.1, les méthodes URL sous-jacentes des composants KirbyTags et image blocks ne filtraient pas les valeurs d'URL malveillantes qui conduisent à l'exécution de scripts. La vulnérabilité affecte quatre rendus officiels (first-party) de Kirby produisant une sortie `<a href="…">` à partir de valeurs de champ fournies par l'éditeur : le tag `(link: …)` KirbyTag, le paramètre `link:` du tag `(image: …)` KirbyTag lorsqu'il ne résout pas vers un fichier connu ou `self`, le champ `link` du bloc image intégré et l'importateur HTML pour le champ `blocks` (qui acceptait la même entrée malveillante que le champ `link` du bloc image). Bien que les URL simples de type `javascript:` soient déjà désactivées en étant traitées comme un chemin relatif avec l'ajout d'un slash unique au début de l'URL, l'utilisation d'URL au format `javascript://x%0A…` contourne cette protection. Les schémas `vbscript:`, `data:`, `livescript:`, `mocha:` et `jar:` sont affectés par la même faille sous-jacente. Ce problème a été corrigé dans les versions 4.9.1 et 5.4.1.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Réserver

12/05/2026

Divulgation

17/07/2026

Modérer

accepté

Entrée

VDB-379670

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!