CVE-2026-44175 in Kirby정보

요약

\~에 의해 VulDB • 2026. 07. 16.

Kirby는 오픈소스 콘텐츠 관리 시스템입니다. 버전 4.9.1 및 5.4.1 이전의 Kirby에서는 저장 시 목록 필드(list field) 내용을 안전하게 제거(sanitize)하지 않아 크로스 사이트 스크립팅(XSS)에 취약했습니다. Kirby의 목록 필드는 서식 있는 콘텐츠를 HTML로 저장하며, 다른 필드 유형과 달리 형식을 유지하면서 HTML 특수 문자를 이스케이프할 수 없습니다. sanitization은 패널(Panel)에서만 클라이언트 측에서 적용되었으며, 서버는 저장 시 내용을 제거하지 않았습니다. 그 결과 공격자가 패널을 우회하여 Kirby API에 악성 HTML을 직접 전송하고 콘텐츠 파일에 비제거된 마크업을 저장할 수 있었습니다. 이 markup은 사이트 프론트엔드에서 렌더링되어 방문자 및 사이트에 로그인한 사용자의 브라우저에서 실행되었으며, 이는 영구적인 XSS(persistent XSS)로 이어졌습니다. 해당 문제는 버전 4.9.1 및 5.4.1에서 수정되었습니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 05. 05.

모더레이션

수락

항목

VDB-379666

EPSS

0.00000

출처

Want to know what is going to be exploited?

We predict KEV entries!