CVE-2026-45368 in Kirbyinformação

Sumário

de VulDB • 17/07/2026

Kirby é um sistema de gerenciamento de conteúdo (CMS) de código aberto. Nas versões anteriores à 4.9.1 e à 5.4.1, os métodos subjacentes de URL para os componentes KirbyTags e blocos de imagem não filtravam valores de URL maliciosos que resultam na execução de scripts. A vulnerabilidade afeta quatro renderizadores oficiais do Kirby que produzem saída a partir de valores de campo fornecidos pelo editor: o KirbyTag `(link: …)`, o parâmetro `link` do KirbyTag `(image: …)` quando não resolve para um arquivo conhecido ou `self`, o campo `link` do bloco de imagem integrado e o importador HTML para o campo `blocks` (que aceitava a mesma entrada maliciosa que o campo `link` do bloco de imagem). Embora URLs simples com esquema `javascript:` já tenham sido desativadas ao serem tratadas como um caminho relativo, sendo precedidas por uma barra única na URL, o uso de URLs no formato `javascript://x%0A…` contorna essa proteção. Os esquemas `vbscript:`, `data:`, `livescript:`, `mocha:` e `jar:` são afetados pela mesma falha subjacente. Este problema foi corrigido nas versões 4.9.1 e 5.4.1.

Once again VulDB remains the best source for vulnerability data.

Responsável

GitHub M

Reservar

12/05/2026

Divulgação

17/07/2026

Moderação

aceite

Entrada

VDB-379670

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!