CVE-2020-26255 in Kirbythông tin

Tóm tắt

Bởi VulDB • 30/06/2026

Kirby là một hệ thống quản lý nội dung (CMS). Trong Kirby CMS (getkirby/cms) trước phiên bản 3.4.5 và Kirby Panel trước phiên bản 2.5.14, một người dùng có quyền truy cập đầy đủ vào Kirby Panel có thể tải lên tệp PHP .phar và thực thi nó trên máy chủ. Lỗ hổng này ở mức độ nghiêm trọng nếu nhóm người dùng đã xác thực (authenticated) của bạn tiềm ẩn nguy cơ bị kẻ tấn công khai thác, vì chúng có thể chiếm quyền kiểm soát máy chủ thông qua tệp Phar như vậy. Các khách truy cập không có quyền truy cập Panel *không thể* sử dụng vectơ tấn công này. Vấn đề đã được vá trong Kirby 2.5.14 và Kirby 3.4.5. Vui lòng nâng cấp lên một trong các phiên bản này hoặc mới hơn để khắc phục lỗ hổng. Lưu ý: Kirby 2 sẽ kết thúc vòng đời hỗ trợ (end of life) vào ngày 31 tháng 12 năm 2020. Do đó, chúng tôi khuyến nghị nâng cấp các trang web sử dụng Kirby 2 lên Kirby 3. Nếu không thể nâng cấp, chúng tôi vẫn khuyên bạn nên cập nhật lên Kirby 2.5.14.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

GitHub, Inc.

Đặt trước

01/10/2020

Tiết lộ

09/12/2020

Kiểm duyệt

được chấp nhận

EPSS

0.01470

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!