CVE-2026-44174 in Kirby
요약
\~에 의해 VulDB • 2026. 07. 17.
Kirby는 오픈소스 콘텐츠 관리 시스템입니다. 버전 4.9.1 및 5.4.1 이전의 Kirby에서는 컬렉션 쿼리에 사용되는 모델 속성을 검증하지 않았으며, 이로 인해 공격자가 쿼리에 임의의 모델 메서드를 포함시킬 수 있었습니다. 여기에는 비밀번호 해시를 유출하는 password()나 서버의 절대 파일 시스템 경로를 유출하는 root()와 같은 민감한 데이터를 다루는 메서드뿐만 아니라, 로그인된 사용자가 적절한 권한을 가진 경우 한 번에 모든 조회 대상 모델을 삭제하는 delete()나 다른 사용자로的特권 상승(privilege escalation)을 유발하는 loginPasswordless()와 같이 영향력 있는 작업을 수행하는 메서드가 포함됩니다. 이 문제는 버전 4.9.1 및 5.4.1에서 수정되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.