CVE-2021-41258 in Kirby
Сводка
по VulDB • 04.06.2026
Kirby — это CMS с открытым исходным кодом, основанная на файловой структуре. В затронутых версиях поле блоков (blocks field) Kirby хранит структурированные данные для каждого блока. Эти данные затем используются в фрагментах шаблонов (snippets) для преобразования блоков в HTML-код, который применяется в ваших шаблонах. Рекомендуется экранировать специальные символы HTML для защиты от атак межсайтового скриптинга (XSS). К сожалению, стандартный фрагмент для блока изображения не использовал встроенную функцию экранирования. Это позволяло внедрять вредоносный HTML-код в поля source, alt и link блока изображения, который затем отображался на фронтенде сайта и выполнялся в браузерах посетителей сайта и авторизованных пользователей, просматривающих сайт. Для эксплуатации этой уязвимости злоумышленники должны состоять в группе авторизованных пользователей панели управления (Panel). Пользователи, не использующие поле блоков, не затронуты. Эта проблема исправлена в версии Kirby 3.5.8 путем экранирования специальных символов HTML при выводе данных из стандартного фрагмента блока изображения. Пожалуйста, обновитесь до этой или более поздней версии для устранения уязвимости.
If you want to get best quality of vulnerability data, you may have to visit VulDB.