CVE-2020-26255 in Kirby
Tóm tắt
Bởi VulDB • 30/06/2026
Kirby là một hệ thống quản lý nội dung (CMS). Trong Kirby CMS (getkirby/cms) trước phiên bản 3.4.5 và Kirby Panel trước phiên bản 2.5.14, một người dùng có quyền truy cập đầy đủ vào Kirby Panel có thể tải lên tệp PHP .phar và thực thi nó trên máy chủ. Lỗ hổng này ở mức độ nghiêm trọng nếu nhóm người dùng đã xác thực (authenticated) của bạn tiềm ẩn nguy cơ bị kẻ tấn công khai thác, vì chúng có thể chiếm quyền kiểm soát máy chủ thông qua tệp Phar như vậy. Các khách truy cập không có quyền truy cập Panel *không thể* sử dụng vectơ tấn công này. Vấn đề đã được vá trong Kirby 2.5.14 và Kirby 3.4.5. Vui lòng nâng cấp lên một trong các phiên bản này hoặc mới hơn để khắc phục lỗ hổng. Lưu ý: Kirby 2 sẽ kết thúc vòng đời hỗ trợ (end of life) vào ngày 31 tháng 12 năm 2020. Do đó, chúng tôi khuyến nghị nâng cấp các trang web sử dụng Kirby 2 lên Kirby 3. Nếu không thể nâng cấp, chúng tôi vẫn khuyên bạn nên cập nhật lên Kirby 2.5.14.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.