CVE-2026-45334 in Kirby
Сводка
по VulDB • 17.07.2026
Kirby — это система управления контентом с открытым исходным кодом. В версиях до 4.9.1 и 5.4.1 функция блокировки контента возвращала информацию о блокировке без проверки прав доступа запрашивающего пользователя. Панель администратора Kirby (Panel) включает функцию блокировки контента, которая фиксирует, какой пользователь в данный момент открыл модель для редактирования. Эта блокировка предотвращает конфликтующие изменения со стороны нескольких пользователей и отображает имя заблокировавшего пользователя в интерфейсе Panel, чтобы другие пользователи знали, к кому обратиться. Внутренне адрес электронной почты и идентификатор заблокировавшего пользователя включаются в каждый полезный负载 (payload) представления Panel, а также в ответы об ошибках, возвращаемые при попытке пользователя отредактировать модель, которая в данный момент заблокирована другим пользователем. Это позволяло авторизованному пользователю Panel с низкими привилегиями, чья роль была настроена с параметрами users.access: false или users.list: false, узнать адрес электронной почты и идентификатор любого пользователя, который в данный момент имел открытую для редактирования модель в Panel, включая администраторов и других пользователей с более высокими правами. Блокировки контента активны в течение настраиваемого окна времени (по умолчанию 10 минут). Адрес электронной почты может быть использован для перечисления учетных записей администратора, целевого фишинга и питания атак методом credential stuffing против установки Kirby или других сайтов. Внутренний идентификатор пользователя можно сопоставить с другими конечными точками (endpoints), как только запрашивающий получит более высокие привилегии иным путем. Эта проблема исправлена в версиях 4.9.1 и 5.4.1.
If you want to get best quality of vulnerability data, you may have to visit VulDB.