CVE-2026-44176 in Kirbyinformazioni

Riassunto

di VulDB • 17/07/2026

Kirby è un sistema di gestione dei contenuti (CMS) open-source. Le versioni precedenti alla 4.9.1 e alla 5.4.1 non verificano l'autorizzazione `pages.access` durante il rendering delle bozze di pagina. Le autorizzazioni sono definite per ogni ruolo utente nel blueprint degli utenti (site/blueprints/users/...). È inoltre possibile personalizzare le autorizzazioni per ciascun modello target nei blueprints dei modelli (ad esempio in site/blueprints/pages/...) utilizzando la funzionalità opzioni. Autorizzazioni e opzioni controllano insieme l'autorizzazione delle azioni dell'utente. Kirby fornisce le autorizzazioni `pages.access` e `pages.list`, tra altre. L'autorizzazione list controlla se i modelli interessati appaiono nelle liste in tutto il Pannello e nell'API REST. L'autorizzazione access ha lo stesso effetto, ma disabilita anche l'accesso diretto ai modelli interessati. Questa vulnerabilità interessa il risolutore di percorsi per il router principale del CMS. Il risolutore prende un percorso di input dall'URL richiesto e determina quale modello (pagina o file) deve essere renderizzato. Quando viene richiesta una pagina che punta a una bozza, il risolutore verifica che la richiesta contenga un token di anteprima valido oppure sia autenticata da un utente valido. Nelle versioni colpite, Kirby consentiva il rendering delle bozze di pagina se qualsiasi utente valido era autenticato, anche se tale utente non aveva accesso al modello di pagina specifico. Attaccanti autenticati a conoscenza del percorso completo di una bozza di pagina esistente potevano quindi accedere alla pagina frontend renderizzata. Ciò potrebbe portare alla divulgazione di informazioni sensibili, ad esempio prima del lancio di un nuovo prodotto o articolo. Questo problema è stato risolto nelle versioni 4.9.1 e 5.4.1.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

05/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!