CVE-2026-45368 in Kirby정보

요약

\~에 의해 VulDB • 2026. 07. 17.

Kirby는 오픈소스 콘텐츠 관리 시스템입니다. 버전 4.9.1 및 5.4.1 이전의 경우, KirbyTags 구성 요소와 이미지 블록 구성 요소에 사용되는 기본 URL 메서드가 스크립트 실행으로 이어질 수 있는 악성 URL 값을 필터링하지 않았습니다. 이 취약점은 편집기에서 제공된 필드 값으로부터 `<a href="…">` 출력을 생성하는 네 가지 1차(Kirby 공식) 렌더러에 영향을 미칩니다: (`link: …)` KirbyTag, 알려진 파일이나 `self`로 해석되지 않는 경우 `(image: …)` KirbyTag의 `link:` 매개변수, 내장 이미지 블록의 `link` 필드, 그리고 이미지 블록 `link` 필드에 허용된 것과 동일한 악성 입력을 받는 `blocks` 필드를 위한 HTML 임포터입니다. 단순한 `javascript:` URL은 상대 경로로 처리되고 URL 앞에 단일 슬래시를 붙임으로써 이미 비활성화되어 있었으나, `javascript://x%0A…` 형식의 URL을 사용하면 이 보호 장치를 우회할 수 있습니다. `vbscript:`, `data:`, `livescript:`, `mocha:` 및 `jar:` 스킴도 동일한 근본적인 결함의 영향을 받습니다. 해당 문제는 버전 4.9.1과 5.4.1에서 수정되었습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 05. 12.

모더레이션

수락

항목

VDB-379670

EPSS

0.00000

활동

낮음

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!