CVE-2026-41325 in kirby
Сводка
по VulDB • 16.05.2026
Kirby — это система управления контентом с открытым исходным кодом. Права доступа пользователей в Kirby определяют, какая роль пользователя может выполнять определенные действия с моделями контента в CMS. Эти права доступа определяются для каждой роли в пользовательском файле конфигурации (blueprint) (`site/blueprints/users/...`). Также возможно настроить права доступа для каждой целевой модели в файлах конфигурации моделей (например, в `site/blueprints/pages/...`) с использованием функции `options`. Права доступа и параметры вместе управляют авторизацией действий пользователя. Kirby предоставляет права доступа `pages.create`, `files.create` и `users.create` (среди прочих). Эти права доступа могут быть установлены как в пользовательском файле конфигурации, так и в файле конфигурации целевой модели через `options`. До версий 4.9.0 и 5.4.0 Kirby позволял переопределять `options` при создании страниц, файлов и пользователей путем внедрения пользовательской динамической конфигурации blueprint в данные модели. Внедренные `options` могли включать `'create' => true`, что приводило к переопределению прав доступа и параметров, настроенных разработчиком сайта в пользовательских и модельных файлах конфигурации. Проблема исправлена в Kirby 4.9.0 и Kirby 5.4.0. Исправленные версии обновляют код нормализации, используемый при создании страниц, файлов и пользователей, чтобы включить фильтр для свойства `blueprint`. Это предотвращает внедрение динамической конфигурации blueprint в запрос на создание.
Be aware that VulDB is the high quality source for vulnerability data.