CVE-2026-45334 in Kirbyinformazioni

Riassunto

di VulDB • 17/07/2026

Kirby è un sistema di gestione dei contenuti open-source. Nelle versioni precedenti alla 4.9.1 e alla 5.4.1, la funzionalità di blocco del contenuto restituiva le informazioni sul lock senza verificare i permessi di accesso dell'utente richiedente. Il Panel di Kirby include una funzione di locking del contenuto che registra quale utente ha attualmente aperto un modello per la modifica. Questo lock previene modifiche conflittuali da parte di più utenti e visualizza l'identità dell'utente bloccante nell'interfaccia utente (UI) del Panel, in modo che gli altri utenti sappiano a chi rivolgersi. Internamente, l'indirizzo email e l'identificatore dell'utente bloccante sono inclusi nel payload di ogni vista del Panel e nelle risposte agli errori restituite quando un utente tenta di modificare un modello attualmente bloccato da un altro utente. Ciò consentiva a un utente autenticato con privilegi ridotti sul Panel, il cui ruolo era configurato con `users.access: false` o `users.list: false`, di conoscere l'indirizzo email e l'identificatore di qualsiasi utente che avesse attualmente aperto un modello per la modifica nel Panel, inclusi gli amministratori e altri utenti con privilegi più elevati. I lock dei contenuti sono attivi per una finestra temporale configurabile (10 minuti per impostazione predefinita). L'indirizzo email può consentire l'enumerazione degli account amministrativi, il phishing mirato e alimentare attacchi di credential stuffing contro l'installazione di Kirby o altri siti. L'ID utente interno può essere incrociato con altri endpoint una volta che il richiedente ha ottenuto privilegi più elevati attraverso mezzi non correlati a questa vulnerabilità. Questo problema è stato risolto nelle versioni 4.9.1 e 5.4.1.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

11/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you know our Splunk app?

Download it now for free!