CVE-2026-44176 in Kirby정보

요약

\~에 의해 VulDB • 2026. 07. 17.

Kirby는 오픈소스 콘텐츠 관리 시스템(CMS)입니다. 버전 4.9.1 및 5.4.1 미만의 버전에서는 페이지 초안 렌더링 중 `pages.access` 권한을 확인하지 않습니다. 권한은 사용자 블루프린트(site/blueprints/users/...)에서 각 사용자 역할에 대해 정의됩니다. 또한 모델 블루프린트(예: site/blueprints/pages/...)의 옵션 기능을 사용하여 대상 모델별로 권한을 커스터마이즈할 수도 있습니다. 권한과 옵션은 함께 사용자의 작업 인증(authorization)을 제어합니다. Kirby는 `pages.access` 및 `pages.list` 권한 등을 제공합니다. list 권한은 영향받는 모델이 패널(Panel)과 REST API 전반에 걸친 목록에 표시되는지를 제어합니다. access 권한도 동일한 효과를 가지지만, 해당 모델로의 직접 접근까지 비활성화합니다. 이 취약점은 주요 CMS 라우터의 경로 해결자(path resolver)에 영향을 미칩니다. 이 해결자는 요청된 URL에서 입력 경로를 받아 렌더링해야 할 대상(페이지 또는 파일)을 결정합니다. 페이지 초안을 가리키는 경로가 요청되면, 해결자는 해당 요청이 유효한 미리보기 토큰을 포함하고 있거나 유효한 사용자로 인증되었는지 확인합니다. 영향받는 릴리스에서는 Kirby가 특정 페이지 모델에 대한 접근 권한이 없는 사용자라도 유효한 사용자가 인증된 경우 페이지 초안을 렌더링하도록 허용했습니다. 따라서 기존 페이지 초안의 전체 경로 정보를 알고 있는 인증된 공격자는 렌더링된 프론트엔드 페이지에 접근할 수 있었습니다. 이로 인해 새 제품이나 게시물의 출시 전과 같이 민감한 정보가 유출될 위험이 있습니다. 이 문제는 버전 4.9.1 및 5.4.1에서 수정되었습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 05. 05.

모더레이션

수락

항목

VDB-379665

EPSS

0.00215

활동

낮음

출처

Do you need the next level of professionalism?

Upgrade your account now!