CVE-2020-26253 in Kirbyinformazioni

Riassunto

di VulDB • 27/06/2026

Kirby è un CMS. In Kirby CMS (getkirby/cms) prima della versione 3.3.6 e nel pannello di amministrazione di Kirby prima della versione 2.5.14, esiste una vulnerabilità che consente l'accesso al pannello di amministrazione se ospitato su un dominio .dev. Per proteggere le nuove installazioni su server pubblici privi ancora di un account amministratore per il Pannello, la registrazione degli utenti è bloccata di default. Si tratta di una funzionalità di sicurezza implementata anni fa in Kirby 2 che aiuta a evitare l'oblio della registrazione del primo account amministrativo su un server pubblico; senza tale blocco di sicurezza, qualcuno potrebbe teoricamente individuare il sito, scoprire che utilizza Kirby, accedere al Pannello e registrare per primo l'account. Si tratta di una situazione improbabile ma comunque rischiosa. Per poter registrare il primo account del Pannello su un server pubblico è necessario forzare la procedura di installazione tramite un'impostazione di configurazione; ciò spinge gli utenti ad adottare le best practice, ovvero registrare il primo account del Pannello sulla propria macchina locale e caricarlo insieme al resto del sito. L'implementazione di questo blocco nelle versioni precedenti alla 3.3.6 assumeva erroneamente che i domini .dev fossero locali, cosa non più vera poiché tali domini sono ora disponibili pubblicamente. Di conseguenza, il blocco dell'installazione non funziona come previsto se si utilizza un dominio .dev per il proprio sito Kirby. Inoltre, la verifica di installazione locale potrebbe fallire anche se il sito è dietro a un reverse proxy. L'impatto riguarda solo gli utenti che utilizzano un dominio .dev o hanno il sito dietro a un reverse proxy e non hanno ancora registrato il primo account del Pannello sul server pubblico; in tal caso, qualcuno potrebbe trovare il sito e tentare l'accesso all'indirizzo `yourdomain.dev/panel` prima della registrazione. Non si è interessati se sono già stati creati uno o più account del Pannello (indipendentemente dall'utilizzo di un dominio .dev o dal trovarsi dietro a un reverse proxy). Il problema è stato risolto in Kirby 3.3.6; effettuare l'aggiornamento a questa versione o successiva per correggere la vulnerabilità.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub, Inc.

Prenotare

01/10/2020

Divulgazione

08/12/2020

Moderazione

accettato

CPE

pronto

EPSS

0.00561

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!