CVE-2021-41258 in Kirby情報

要約

〜によって VulDB • 2026年06月04日

Kirbyはオープンソースのファイル構造型CMSです。影響を受けるバージョンでは、Kirbyのblocksフィールドが各ブロックに対して構造化データを保存します。このデータはその後、block snippets(スニペット)で使用され、テンプレート内で使用するためにブロックをHTMLに変換します。クロスサイトスクリプティング(XSS)攻撃から保護するためには、HTML特殊文字のエスケープを行うことを推奨します。ただし、画像ブロックのデフォルトスニペットでは、このエスケープヘルパーが使用されていませんでした。これにより、画像ブロックのsource、alt、linkフィールドに悪意のあるHTMLコードを含めることが可能となり、その結果、サイトフロントエンドで表示され、サイトを閲覧している訪問者やログイン済みユーザーのブラウザ上で実行される可能性があります。この脆弱性を攻撃するには、攻撃者は認証されたPanelユーザーグループに含まれている必要があります。blocksフィールドを使用していないユーザーは影響を受けません。本問題は、Kirbyバージョン3.5.8において、デフォルト画像ブロックスニペットからの出力に対してHTML特殊文字をエスケープすることで修正されています。脆弱性を解消するためには、このバージョン以降にアップデートしてください。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub, Inc.

予約する

2021年09月15日

モデレーション

承諾済み

エントリ

VDB-186861

EPSS

0.00781

アクティビティ

非常低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!