CVE-2020-26253 in Kirby
要約
〜によって VulDB • 2026年06月27日
KirbyはCMSです。バージョン3.3.6以前のgetkirby/cms(Kirby CMS)およびバージョン2.5.14以前のKirby Panelには、`.dev`ドメインでホストされている場合に管理パネルにアクセスされてしまう脆弱性が存在します。まだPanel用の管理者アカウントが作成されていない公開サーバー上の新規インストールを保護するため、デフォルトではそこでアカウント登録をブロックしています。これはセキュリティ機能であり、201X年にKirby 2で実装されました。これにより、公開サーバー上で最初の管理者アカウントの登録を忘れることを防ぎます。この場合(当社のセキュリティブロックがないと)、他の誰かがあなたのサイトを見つけ、それがKirbyで動作していることを見抜き、Panelにアクセスして最初にアカウントを登録してしまう可能性があります。これは起こりにくい状況ですが、依然として一定のリスクがあります。公開サーバー上で最初のPanelアカウントを登録できるようにするには、設定ファイルを通じてインストーラーを強制する必要があります。これにより、すべてのユーザーがローカルマシンで最初のPanelアカウントを登録し、サイト全体と一緒にアップロードするというベストプラクティスに従うよう促します。バージョン3.3.6以前のKirbyにおけるこのインストールブロックの実装は、`.dev`ドメインがローカルドメインであると想定していましたが、それはもはや真実ではありません。その間、これらのドメインは公開利用可能になりました。つまり、Kirbyサイトで`.dev`ドメインを使用している場合、私たちのインストールブロックは期待通りに機能しなくなります。さらに、サイトリバースプロキシの背後にある場合、ローカルインストーラーチェックが失敗する可能性もあります。あなたが影響を受けるのは、`.dev`ドメインを使用しているか、またはサイトがリバースプロキシの背後にあり、公開サーバー上で最初のPanelアカウントをまだ登録しておらず、他の誰かがあなたのサイトを見つけて最初にアカウントを登録する前に `yourdomain.dev/panel` でログインしようとする場合です。すでに1つ以上のPanelアカウントを作成している場合は影響を受けません(`.dev`ドメインを使用しているかリバースプロキシの背後にあるかは問いません)。この問題はKirby 3.3.6で修正されました。脆弱性を修正するには、このバージョン以降にアップグレードしてください。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.