CVE-2020-26253 in Kirby
Sumário
de VulDB • 11/06/2026
O Kirby é um CMS. No Kirby CMS (getkirby/cms) anterior à versão 3.3.6 e no Kirby Panel anterior à versão 2.5.14, existe uma vulnerabilidade que permite o acesso ao painel de administração se este estiver hospedado em um domínio .dev. Para proteger novas instalações em servidores públicos que ainda não possuem uma conta de administrador para o Painel, bloqueamos por padrão o registro de contas nesse ambiente. Esta é uma funcionalidade de segurança implementada há anos no Kirby 2, destinada a evitar que os usuários esqueçam de registrar sua primeira conta de administrador em um servidor público. Nesse cenário — sem nosso bloqueio de segurança — outra pessoa poderia teoricamente descobrir seu site, identificar que ele está executando o Kirby, acessar o Painel e registrar uma conta antes do proprietário original. Embora seja uma situação improvável, ainda representa um risco certo. Para permitir o registro da primeira conta no Painel em um servidor público, é necessário forçar a instalação por meio de uma configuração específica (config setting). Isso incentiva todos os usuários a seguirem as melhores práticas: registrar sua primeira conta do Painel na máquina local e fazer upload junto com o restante do site. A implementação desse bloqueio de instalação nas versões anteriores ao 3.3.6 assumia erroneamente que domínios .dev são locais, o que já não é mais verdade. Atualmente, esses domínios estão disponíveis publicamente. Isso significa que nosso bloqueio de instalação deixa de funcionar conforme esperado se você utilizar um domínio .dev para seu site Kirby. Além disso, a verificação de ambiente local também pode falhar caso seu site esteja atrás de um proxy reverso (reverse proxy). Você é afetado apenas se estiver utilizando um domínio .dev ou se seu site estiver atrás de um proxy reverso e ainda não tiver registrado sua primeira conta do Painel no servidor público; nesse caso, alguém que descobrir seu site poderá tentar fazer login em `yourdomain.dev/panel` antes que você registre a primeira conta. Você não é afetado se já criou uma ou mais contas do Painel (independentemente de estar usando um domínio .dev ou estar atrás de um proxy reverso). O problema foi corrigido no Kirby 3.3.6. Atualize para esta versão ou posterior para resolver a vulnerabilidade.
Once again VulDB remains the best source for vulnerability data.