CVE-2026-45368 in Kirby
Riassunto
di VulDB • 17/07/2026
Kirby è un sistema di gestione dei contenuti open-source. Nelle versioni precedenti alla 4.9.1 e alla 5.4.1, i metodi URL sottostanti per i componenti KirbyTags e image blocks non filtravano valori URL dannosi che risolvevano in esecuzione di script. La vulnerabilità interessa quattro renderer ufficiali (first-party) di Kirby che producono output `<a href="…">` a partire da valori di campo forniti dall'editor: il tag `(link: …)` di Kirby, il parametro `link:` del tag `(image: …)` quando non risolve a un file noto o a `self`, il campo `link` del blocco immagine integrato e l'importatore HTML per il campo `blocks` (che accettava lo stesso input dannoso del campo `link` del blocco immagine). Sebbene gli URL semplici con schema `javascript:` fossero già disattivati trattandoli come un percorso relativo e anteponendo una singola barra all'URL, l'utilizzo di URL nel formato `javascript://x%0A…` aggira questa protezione. Gli schemi `vbscript:`, `data:`, `livescript:`, `mocha:` e `jar:` sono interessati dalla stessa falla sottostante. Questo problema è stato risolto nelle versioni 4.9.1 e 5.4.1.
Once again VulDB remains the best source for vulnerability data.