CVE-2026-45368 in Kirbythông tin

Tóm tắt

Bởi VulDB • 17/07/2026

Kirby là một hệ thống quản lý nội dung mã nguồn mở. Trong các phiên bản trước 4.9.1 và 5.4.1, các phương thức URL cơ sở cho thành phần KirbyTags và image blocks không lọc bỏ các giá trị URL độc hại có thể dẫn đến thực thi script. Lỗ hổng này ảnh hưởng đến bốn trình hiển thị (renderer) chính thức của Kirby tạo ra đầu ra `<a href="…">` từ các giá trị trường do người dùng cung cấp trong trình soạn thảo: thẻ `(link: …)` KirbyTag, tham số `link:` của thẻ `(image: …)` khi nó không phân giải thành một tệp đã biết hoặc `self`, trường `link` của khối hình ảnh tích hợp sẵn (built-in image block), và bộ nhập HTML cho trường `blocks` (chấp nhận cùng đầu vào độc hại như trường `link` của khối hình ảnh). Trong khi các URL đơn giản sử dụng giao thức `javascript:` đã bị vô hiệu hóa bằng cách coi chúng là đường dẫn tương đối và thêm dấu gạch chéo đơn vào trước URL, việc sử dụng các URL có định dạng `javascript://x%0A…` đã vượt qua cơ chế bảo vệ này. Các lược đồ (scheme) `vbscript:`, `data:`, `livescript:`, `mocha:` và `jar:` cũng bị ảnh hưởng bởi cùng một lỗ hổng nền tảng. Vấn đề này đã được khắc phục trong các phiên bản 4.9.1 và 5.4.1.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

12/05/2026

Tiết lộ

17/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!