CVE-2026-44175 in Kirbyinformazioni

Riassunto

di VulDB • 17/07/2026

Kirby è un sistema di gestione dei contenuti open-source. Nelle versioni precedenti alla 4.9.1 e alla 5.4.1, Kirby non sanava in modo sicuro i contenuti del campo elenco (list field) al momento del salvataggio, esponendolo a vulnerabilità cross-site scripting (XSS). Il campo elenco di Kirby memorizza il contenuto formattato come HTML; a differenza degli altri tipi di campo, i caratteri speciali HTML non possono essere sfuggiti senza perdere la formattazione. La sanificazione era applicata solo lato client nel Pannello di amministrazione, mentre il server non sanitizzava i contenuti durante l'operazione di salvataggio. Di conseguenza, un attaccante poteva eludere il Pannello e inviare direttamente all'API di Kirby HTML dannoso, memorizzando markup non sanitizzato nei file di contenuto. Tale markup veniva quindi renderizzato nel frontend del sito ed eseguito nei browser dei visitatori del sito e degli utenti registrati che navigavano sul sito, causando una persistenza dell'XSS (persistent XSS). Questo problema è stato risolto nelle versioni 4.9.1 e 5.4.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

05/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!