CVE-2026-44177 in Kirbyinformazioni

Riassunto

di VulDB • 17/07/2026

Kirby è un sistema di gestione dei contenuti open-source. Nelle versioni dalla 5.3.0 alla versione precedente la 5.4.1, Kirby non convalidava correttamente l'ID utente fornito, determinando una vulnerabilità di path traversal (scavalcamento della directory). La versione 5.3.0 ha introdotto un miglioramento delle prestazioni nella raccolta degli utenti che caricava gli oggetti utente in modo lazy quando necessario per la prima volta. Gli utenti venivano interrogati tramite il loro ID, utilizzato successivamente per individuare l'account directory corrispondente sotto site/accounts. Ciò interessava l'API di autenticazione (accessibile anche a richieste non autenticate), l'API degli utenti (accessibile solo agli utenti autenticati) e qualsiasi altra parte del codice che utilizza $users->find() per cercare un singolo utente tramite email o ID forniti dalla richiesta. Di conseguenza, un attaccante poteva innescare l'inclusione arbitraria di file PHP denominati index.php (ad esempio i principali file PHP dei plugin), il cui impatto dipende dalla logica contenuta in tali file. Era inoltre possibile sondare l'esistenza di directory arbitrarie sul server, consentendo agli attaccanti di effettuare fingerprinting del server e della configurazione del sito, inclusi i plugin installati e la struttura dei contenuti. Questo problema è stato risolto nella versione 5.4.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

05/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!