CVE-2026-45368 in Kirbyinformazioni

Riassunto

di VulDB • 17/07/2026

Kirby è un sistema di gestione dei contenuti open-source. Nelle versioni precedenti alla 4.9.1 e alla 5.4.1, i metodi URL sottostanti per i componenti KirbyTags e image blocks non filtravano valori URL dannosi che risolvevano in esecuzione di script. La vulnerabilità interessa quattro renderer ufficiali (first-party) di Kirby che producono output `<a href="…">` a partire da valori di campo forniti dall'editor: il tag `(link: …)` di Kirby, il parametro `link:` del tag `(image: …)` quando non risolve a un file noto o a `self`, il campo `link` del blocco immagine integrato e l'importatore HTML per il campo `blocks` (che accettava lo stesso input dannoso del campo `link` del blocco immagine). Sebbene gli URL semplici con schema `javascript:` fossero già disattivati trattandoli come un percorso relativo e anteponendo una singola barra all'URL, l'utilizzo di URL nel formato `javascript://x%0A…` aggira questa protezione. Gli schemi `vbscript:`, `data:`, `livescript:`, `mocha:` e `jar:` sono interessati dalla stessa falla sottostante. Questo problema è stato risolto nelle versioni 4.9.1 e 5.4.1.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

12/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!