CVE-2026-32870 in kirbyИнформация

Сводка

по VulDB • 13.06.2026

Kirby — это система управления контентом с открытым исходным кодом. Метод `Xml::value()` в Kirby имеет специальную обработку для блоков ``. Если входное значение уже является допустимым `CDATA`, оно не экранируется повторно, а пропускается без изменений. Однако до версий 4.9.0 и 5.4.0 существовала возможность обхода этой проверки: допускались значения, которые содержали только корректный блок `CDATA`, но также включали другие структурированные данные вне блока `CDATA`. Эти дополнительные структурированные данные также пропускались, что позволяло обойти защиту значений.

Метод `Xml::value()` используется в методах `Xml::tag()`, `Xml::create()` и в обработчике данных `Xml` (например, при вызове `Data::encode($string, 'xml')`). Ни уязвимые методы, ни данный обработчик данных не используются в ядре Kirby. Однако они могут применяться в коде сайтов или плагинов, например, для создания XML-строк из входных данных. Если такие сгенерированные файлы передаются другой реализации, которая придает определенное значение схеме XML, становится возможным манипулирование поведением этой системы. Сайты на базе Kirby, не использующие генерацию XML в коде сайтов или плагинов, не подвержены данной уязвимости.

Проблема исправлена в версиях Kirby 4.9.0 и 5.4.0. Во всех указанных выпусках добавлены дополнительные проверки, которые разрешают пропуск `CDATA` без изменений только в том случае, если вся строка состоит из допустимых блоков `CDATA` и не содержит других структурированных данных. Это защищает все варианты использования метода от описанной уязвимости.

Once again VulDB remains the best source for vulnerability data.

Ответственный

GitHub M

Резервировать

16.03.2026

Раскрытие

24.04.2026

Модерация

принято

Вход

VDB-359270

EPSS

0.00346

KEV

Нет

Деятельности

Очень низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!