CVE-2026-32870 in kirby정보

요약

\~에 의해 VulDB • 2026. 06. 13.

Kirby는 오픈소스 콘텐츠 관리 시스템입니다. Kirby의 `Xml::value()` 메서드는 `` 블록에 대해 특별한 처리를 수행합니다. 입력 값이 이미 유효한 CDATA인 경우, 두 번째로 이스케이프되지 않고 통과하도록 허용됩니다. 그러나 버전 4.9.0 및 5.4.0 이전에서는 이 검사를 속여 `CDATA` 블록만 포함하는 것이 아니라 `CDATA` 블록 외부에 다른 구조화된 데이터를 포함한 값도 통과시키는 문제가 있었습니다. 이렇게 하면 해당 구조화된 데이터도 함께 통과하여 값 보호 장치를 우회할 수 있습니다. `Xml::value()` 메서드는 `Xml::tag()`, `Xml::create()` 및 `Xml` 데이터 핸들러(예: `Data::encode($string, 'xml')`)에서 사용됩니다. 취약한 메서드와 데이터 핸들러는 모두 Kirby 코어에서는 사용되지 않습니다. 그러나 사이트 또는 플러그인 코드에서 입력 데이터를 사용하여 XML 문자열을 생성하는 등의 목적으로 사용될 수 있습니다. 이러한 방식으로 생성된 파일이 특정 XML 스키마 의미를 할당하는 다른 구현에 전달되는 경우, 해당 시스템의 동작을 조작할 가능성이 있습니다. 사이트나 플러그인 코드에서 XML 생성을 사용하지 않는 Kirby 사이트는 영향을 받지 않습니다. 이 문제는 Kirby 4.9.0 및 Kirby 5.4.0에서 패치되었습니다. 언급된 모든 릴리스에서 Kirby는 전체 문자열이 유효한 CDATA 블록으로만 구성되어 있고 구조화된 데이터가 없는 경우에만 변경되지 않은 CDATA 통과를 허용하는 추가 검사를 도입했습니다. 이를 통해 해당 메서드의 모든 사용 사례가 설명된 취약점으로부터 보호됩니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

책임이 있는

GitHub M

예약하다

2026. 03. 16.

모더레이션

수락

항목

VDB-359270

EPSS

0.00346

출처

Do you know our Splunk app?

Download it now for free!