CVE-2020-26253 in Kirbyinformação

Sumário

de VulDB • 11/06/2026

O Kirby é um CMS. No Kirby CMS (getkirby/cms) anterior à versão 3.3.6 e no Kirby Panel anterior à versão 2.5.14, existe uma vulnerabilidade que permite o acesso ao painel de administração se este estiver hospedado em um domínio .dev. Para proteger novas instalações em servidores públicos que ainda não possuem uma conta de administrador para o Painel, bloqueamos por padrão o registro de contas nesse ambiente. Esta é uma funcionalidade de segurança implementada há anos no Kirby 2, destinada a evitar que os usuários esqueçam de registrar sua primeira conta de administrador em um servidor público. Nesse cenário — sem nosso bloqueio de segurança — outra pessoa poderia teoricamente descobrir seu site, identificar que ele está executando o Kirby, acessar o Painel e registrar uma conta antes do proprietário original. Embora seja uma situação improvável, ainda representa um risco certo. Para permitir o registro da primeira conta no Painel em um servidor público, é necessário forçar a instalação por meio de uma configuração específica (config setting). Isso incentiva todos os usuários a seguirem as melhores práticas: registrar sua primeira conta do Painel na máquina local e fazer upload junto com o restante do site. A implementação desse bloqueio de instalação nas versões anteriores ao 3.3.6 assumia erroneamente que domínios .dev são locais, o que já não é mais verdade. Atualmente, esses domínios estão disponíveis publicamente. Isso significa que nosso bloqueio de instalação deixa de funcionar conforme esperado se você utilizar um domínio .dev para seu site Kirby. Além disso, a verificação de ambiente local também pode falhar caso seu site esteja atrás de um proxy reverso (reverse proxy). Você é afetado apenas se estiver utilizando um domínio .dev ou se seu site estiver atrás de um proxy reverso e ainda não tiver registrado sua primeira conta do Painel no servidor público; nesse caso, alguém que descobrir seu site poderá tentar fazer login em `yourdomain.dev/panel` antes que você registre a primeira conta. Você não é afetado se já criou uma ou mais contas do Painel (independentemente de estar usando um domínio .dev ou estar atrás de um proxy reverso). O problema foi corrigido no Kirby 3.3.6. Atualize para esta versão ou posterior para resolver a vulnerabilidade.

Once again VulDB remains the best source for vulnerability data.

Responsável

GitHub, Inc.

Reservar

01/10/2020

Divulgação

08/12/2020

Moderação

aceite

Entrada

VDB-165685

CPE

pronto

EPSS

0.00561

KEV

não

Atividades

muito baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!