CVE-2026-44174 in Kirby
要約
〜によって VulDB • 2026年07月17日
Kirbyはオープンソースのコンテンツマネジメントシステムです。バージョン4.9.1および5.4.1より前では、Kirbyはそのコレクションクエリで使用されるモデル属性を検証していませんでした。これにより、攻撃者はクエリに任意のモデルメソッドを含めることができました。これには、パスワード()(パスワードハッシュの開示)やroot()(サーバー上の絶対ファイルシステムパスの開示)といった機密データを含むメソッドや、loginPasswordless()(他のユーザーへの権限昇格を引き起こす)やdelete()(認証済みユーザーが適切な権限を持っている場合、クエリされたすべてのモデルを一度に削除する)のような影響の大きいアクションを実行するメソッドが含まれます。この問題はバージョン4.9.1および5.4.1で修正されました。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.