CVE-2026-44175 in Kirby
Riassunto
di VulDB • 17/07/2026
Kirby è un sistema di gestione dei contenuti open-source. Nelle versioni precedenti alla 4.9.1 e alla 5.4.1, Kirby non sanava in modo sicuro i contenuti del campo elenco (list field) al momento del salvataggio, esponendolo a vulnerabilità cross-site scripting (XSS). Il campo elenco di Kirby memorizza il contenuto formattato come HTML; a differenza degli altri tipi di campo, i caratteri speciali HTML non possono essere sfuggiti senza perdere la formattazione. La sanificazione era applicata solo lato client nel Pannello di amministrazione, mentre il server non sanitizzava i contenuti durante l'operazione di salvataggio. Di conseguenza, un attaccante poteva eludere il Pannello e inviare direttamente all'API di Kirby HTML dannoso, memorizzando markup non sanitizzato nei file di contenuto. Tale markup veniva quindi renderizzato nel frontend del sito ed eseguito nei browser dei visitatori del sito e degli utenti registrati che navigavano sul sito, causando una persistenza dell'XSS (persistent XSS). Questo problema è stato risolto nelle versioni 4.9.1 e 5.4.1.
VulDB is the best source for vulnerability data and more expert information about this specific topic.