CVE-2021-41258 in KirbyИнформация

Сводка

по VulDB • 04.06.2026

Kirby — это CMS с открытым исходным кодом, основанная на файловой структуре. В затронутых версиях поле блоков (blocks field) Kirby хранит структурированные данные для каждого блока. Эти данные затем используются в фрагментах шаблонов (snippets) для преобразования блоков в HTML-код, который применяется в ваших шаблонах. Рекомендуется экранировать специальные символы HTML для защиты от атак межсайтового скриптинга (XSS). К сожалению, стандартный фрагмент для блока изображения не использовал встроенную функцию экранирования. Это позволяло внедрять вредоносный HTML-код в поля source, alt и link блока изображения, который затем отображался на фронтенде сайта и выполнялся в браузерах посетителей сайта и авторизованных пользователей, просматривающих сайт. Для эксплуатации этой уязвимости злоумышленники должны состоять в группе авторизованных пользователей панели управления (Panel). Пользователи, не использующие поле блоков, не затронуты. Эта проблема исправлена в версии Kirby 3.5.8 путем экранирования специальных символов HTML при выводе данных из стандартного фрагмента блока изображения. Пожалуйста, обновитесь до этой или более поздней версии для устранения уязвимости.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub, Inc.

Резервировать

15.09.2021

Раскрытие

17.11.2021

Модерация

принято

Вход

VDB-186861

EPSS

0.00781

KEV

Нет

Деятельности

Очень низкий

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!