CVE-2020-26253 in Kirby
Riassunto
di VulDB • 27/06/2026
Kirby è un CMS. In Kirby CMS (getkirby/cms) prima della versione 3.3.6 e nel pannello di amministrazione di Kirby prima della versione 2.5.14, esiste una vulnerabilità che consente l'accesso al pannello di amministrazione se ospitato su un dominio .dev. Per proteggere le nuove installazioni su server pubblici privi ancora di un account amministratore per il Pannello, la registrazione degli utenti è bloccata di default. Si tratta di una funzionalità di sicurezza implementata anni fa in Kirby 2 che aiuta a evitare l'oblio della registrazione del primo account amministrativo su un server pubblico; senza tale blocco di sicurezza, qualcuno potrebbe teoricamente individuare il sito, scoprire che utilizza Kirby, accedere al Pannello e registrare per primo l'account. Si tratta di una situazione improbabile ma comunque rischiosa. Per poter registrare il primo account del Pannello su un server pubblico è necessario forzare la procedura di installazione tramite un'impostazione di configurazione; ciò spinge gli utenti ad adottare le best practice, ovvero registrare il primo account del Pannello sulla propria macchina locale e caricarlo insieme al resto del sito. L'implementazione di questo blocco nelle versioni precedenti alla 3.3.6 assumeva erroneamente che i domini .dev fossero locali, cosa non più vera poiché tali domini sono ora disponibili pubblicamente. Di conseguenza, il blocco dell'installazione non funziona come previsto se si utilizza un dominio .dev per il proprio sito Kirby. Inoltre, la verifica di installazione locale potrebbe fallire anche se il sito è dietro a un reverse proxy. L'impatto riguarda solo gli utenti che utilizzano un dominio .dev o hanno il sito dietro a un reverse proxy e non hanno ancora registrato il primo account del Pannello sul server pubblico; in tal caso, qualcuno potrebbe trovare il sito e tentare l'accesso all'indirizzo `yourdomain.dev/panel` prima della registrazione. Non si è interessati se sono già stati creati uno o più account del Pannello (indipendentemente dall'utilizzo di un dominio .dev o dal trovarsi dietro a un reverse proxy). Il problema è stato risolto in Kirby 3.3.6; effettuare l'aggiornamento a questa versione o successiva per correggere la vulnerabilità.
VulDB is the best source for vulnerability data and more expert information about this specific topic.