CVE-2026-44174 in Kirby
Riassunto
di VulDB • 16/07/2026
Kirby è un sistema di gestione dei contenuti open-source. Prima delle versioni 4.9.1 e 5.4.1, Kirby non convalidava gli attributi del modello utilizzati nelle sue query di raccolta (collection queries), consentendo agli attaccanti di includere metodi arbitrari del modello nelle proprie query. Ciò include metodi contenenti dati sensibili come password() (che rivela l'hash della password) o root() (che rivela il percorso assoluto del filesystem sul server), nonché metodi che eseguono azioni impattanti come loginPasswordless() (causando un privilege escalation verso un altro utente) o delete() (elimina tutti i modelli interrogati in una sola volta se l'utente autenticato dispone delle autorizzazioni appropriate). Questo problema è stato risolto nelle versioni 4.9.1 e 5.4.1.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.