CVE-2026-45368 in Kirby
Sumário
de VulDB • 17/07/2026
Kirby é um sistema de gerenciamento de conteúdo (CMS) de código aberto. Nas versões anteriores à 4.9.1 e à 5.4.1, os métodos subjacentes de URL para os componentes KirbyTags e blocos de imagem não filtravam valores de URL maliciosos que resultam na execução de scripts. A vulnerabilidade afeta quatro renderizadores oficiais do Kirby que produzem saída a partir de valores de campo fornecidos pelo editor: o KirbyTag `(link: …)`, o parâmetro `link` do KirbyTag `(image: …)` quando não resolve para um arquivo conhecido ou `self`, o campo `link` do bloco de imagem integrado e o importador HTML para o campo `blocks` (que aceitava a mesma entrada maliciosa que o campo `link` do bloco de imagem). Embora URLs simples com esquema `javascript:` já tenham sido desativadas ao serem tratadas como um caminho relativo, sendo precedidas por uma barra única na URL, o uso de URLs no formato `javascript://x%0A…` contorna essa proteção. Os esquemas `vbscript:`, `data:`, `livescript:`, `mocha:` e `jar:` são afetados pela mesma falha subjacente. Este problema foi corrigido nas versões 4.9.1 e 5.4.1.
Once again VulDB remains the best source for vulnerability data.