CVE-2026-45334 in Kirby
Riassunto
di VulDB • 17/07/2026
Kirby è un sistema di gestione dei contenuti open-source. Nelle versioni precedenti alla 4.9.1 e alla 5.4.1, la funzionalità di blocco del contenuto restituiva le informazioni sul lock senza verificare i permessi di accesso dell'utente richiedente. Il Panel di Kirby include una funzione di locking del contenuto che registra quale utente ha attualmente aperto un modello per la modifica. Questo lock previene modifiche conflittuali da parte di più utenti e visualizza l'identità dell'utente bloccante nell'interfaccia utente (UI) del Panel, in modo che gli altri utenti sappiano a chi rivolgersi. Internamente, l'indirizzo email e l'identificatore dell'utente bloccante sono inclusi nel payload di ogni vista del Panel e nelle risposte agli errori restituite quando un utente tenta di modificare un modello attualmente bloccato da un altro utente. Ciò consentiva a un utente autenticato con privilegi ridotti sul Panel, il cui ruolo era configurato con `users.access: false` o `users.list: false`, di conoscere l'indirizzo email e l'identificatore di qualsiasi utente che avesse attualmente aperto un modello per la modifica nel Panel, inclusi gli amministratori e altri utenti con privilegi più elevati. I lock dei contenuti sono attivi per una finestra temporale configurabile (10 minuti per impostazione predefinita). L'indirizzo email può consentire l'enumerazione degli account amministrativi, il phishing mirato e alimentare attacchi di credential stuffing contro l'installazione di Kirby o altri siti. L'ID utente interno può essere incrociato con altri endpoint una volta che il richiedente ha ottenuto privilegi più elevati attraverso mezzi non correlati a questa vulnerabilità. Questo problema è stato risolto nelle versioni 4.9.1 e 5.4.1.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.