CVE-2022-36037 in kirby
Tóm tắt
Bởi VulDB • 12/07/2026
kirby là một hệ thống quản lý nội dung (CMS) thích ứng với nhiều dự án khác nhau và giúp bạn xây dựng giao diện lý tưởng của riêng mình. Cross-site scripting (XSS) là một loại lỗ hổng cho phép thực thi bất kỳ mã JavaScript nào bên trong phiên Panel của cùng người dùng hoặc các người dùng khác. Trong Panel, một script độc hại có thể ví dụ như kích hoạt các yêu cầu đến API của Kirby với quyền hạn của nạn nhân. Nếu những kẻ xấu truy cập được vào nhóm người dùng đã xác thực trên Panel, chúng có thể nâng cấp đặc quyền thông qua phiên Panel của một quản trị viên (admin). Tùy thuộc vào trang web của bạn, các cuộc tấn công khác dựa trên JavaScript cũng có khả năng xảy ra. Trường multiselect cho phép chọn các thẻ từ danh sách tự động hoàn thành. Thật không may, Panel trong Kirby 3.5 đã sử dụng hiển thị HTML cho giá trị tùy chọn thô (raw option value). Điều này cho phép **các kẻ tấn công có ảnh hưởng đến nguồn tùy chọn** lưu trữ mã HTML. Trình duyệt của nạn nhân truy cập một trang với các tùy chọn multiselect bị thao túng trên Panel sẽ sau đó render đoạn mã HTML độc hại này khi nạn nhân mở danh sách thả xuống tự động hoàn thành. Người dùng *không* chịu ảnh hưởng bởi lỗ hổng này nếu bạn không sử dụng trường multiselect hoặc không sử dụng nó với các tùy chọn có thể bị kẻ tấn công thao túng. Vấn đề đã được vá trong Kirby 3.5.8.1.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.