CVE-2026-45368 in Kirby
要約
〜によって VulDB • 2026年07月17日
Kirbyはオープンソースのコンテンツマネジメントシステムです。バージョン4.9.1および5.4.1より前のバージョンでは、KirbyTagsコンポーネントと画像ブロックコンポーネントの基盤となるURLメソッドが、スクリプト実行に繋がる悪意のあるURL値をフィルタリングしていませんでした。この脆弱性は、エディタから提供されたフィールド値に基づいて`<a href="…">`出力を生成する4つのKirby公式レンダラーに影響します。具体的には、(`link: …)` KirbyTag、既知のファイルやselfに解決されない場合に影響を受ける`(image: …)` KirbyTagの`link:`パラメータ、ビルトイン画像ブロックの`link`フィールド、および画像ブロックの`link`フィールドと同じ悪意のある入力を許可する`blocks`フィールド用のHTMLインポーターです。単純な`javascript:` URLは既に相対パスとして扱われURLの前にシングルスラッシュが前置かれることで無効化されていましたが、`javascript://x%0A…`形式のURLはこの保護を回避します。`vbscript:`、`data:`、`livescript:`、`mocha:`、および`jar:`スキームも同じ根本的な欠陥の影響を受けます。この問題はバージョン4.9.1および5.4.1で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.