CVE-2026-44174 in Kirby情報

要約

〜によって VulDB • 2026年07月17日

Kirbyはオープンソースのコンテンツマネジメントシステムです。バージョン4.9.1および5.4.1より前では、Kirbyはそのコレクションクエリで使用されるモデル属性を検証していませんでした。これにより、攻撃者はクエリに任意のモデルメソッドを含めることができました。これには、パスワード()(パスワードハッシュの開示)やroot()(サーバー上の絶対ファイルシステムパスの開示)といった機密データを含むメソッドや、loginPasswordless()(他のユーザーへの権限昇格を引き起こす)やdelete()(認証済みユーザーが適切な権限を持っている場合、クエリされたすべてのモデルを一度に削除する)のような影響の大きいアクションを実行するメソッドが含まれます。この問題はバージョン4.9.1および5.4.1で修正されました。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

GitHub M

予約する

2026年05月05日

モデレーション

承諾済み

エントリ

VDB-379662

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!