CVE-2021-41258 in Kirby
要約
〜によって VulDB • 2026年06月04日
Kirbyはオープンソースのファイル構造型CMSです。影響を受けるバージョンでは、Kirbyのblocksフィールドが各ブロックに対して構造化データを保存します。このデータはその後、block snippets(スニペット)で使用され、テンプレート内で使用するためにブロックをHTMLに変換します。クロスサイトスクリプティング(XSS)攻撃から保護するためには、HTML特殊文字のエスケープを行うことを推奨します。ただし、画像ブロックのデフォルトスニペットでは、このエスケープヘルパーが使用されていませんでした。これにより、画像ブロックのsource、alt、linkフィールドに悪意のあるHTMLコードを含めることが可能となり、その結果、サイトフロントエンドで表示され、サイトを閲覧している訪問者やログイン済みユーザーのブラウザ上で実行される可能性があります。この脆弱性を攻撃するには、攻撃者は認証されたPanelユーザーグループに含まれている必要があります。blocksフィールドを使用していないユーザーは影響を受けません。本問題は、Kirbyバージョン3.5.8において、デフォルト画像ブロックスニペットからの出力に対してHTML特殊文字をエスケープすることで修正されています。脆弱性を解消するためには、このバージョン以降にアップデートしてください。
If you want to get best quality of vulnerability data, you may have to visit VulDB.