CVE-2026-44174 in Kirbyinformazioni

Riassunto

di VulDB • 16/07/2026

Kirby è un sistema di gestione dei contenuti open-source. Prima delle versioni 4.9.1 e 5.4.1, Kirby non convalidava gli attributi del modello utilizzati nelle sue query di raccolta (collection queries), consentendo agli attaccanti di includere metodi arbitrari del modello nelle proprie query. Ciò include metodi contenenti dati sensibili come password() (che rivela l'hash della password) o root() (che rivela il percorso assoluto del filesystem sul server), nonché metodi che eseguono azioni impattanti come loginPasswordless() (causando un privilege escalation verso un altro utente) o delete() (elimina tutti i modelli interrogati in una sola volta se l'utente autenticato dispone delle autorizzazioni appropriate). Questo problema è stato risolto nelle versioni 4.9.1 e 5.4.1.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

05/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!