getkirbyのkirbyにおける不正な認証に関する脆弱性
| Title |
getkirbyのkirbyにおける不正な認証に関する脆弱性
|
| Summary |
Kirbyはオープンソースのコンテンツ管理システムです。Kirbyのユーザー権限は、CMS内のコンテンツモデルに対して特定の操作を実行できるユーザーロールを制御します。これらの権限はユーザーブループリント(`site/blueprints/users/...`)の各ロールごとに定義されています。また、`options`機能を使用してモデルブループリント(例:`site/blueprints/pages/...`)ごとに権限をカスタマイズすることも可能です。権限とオプションは合わせてユーザー操作の認可を制御します。Kirbyは`pages.create`、`files.create`、`users.create`などの権限を提供しており、これらはユーザーブループリントおよび/または対象モデルのブループリントの`options`で設定可能です。バージョン4.9.0および5.4.0以前のKirbyでは、ページ、ファイル、ユーザーの作成時にカスタムの動的ブループリント設定をモデルデータに注入することで`options`を上書きできました。注入された`options`には`'create' = true`が含まれている可能性があり、これによりサイト開発者がユーザーおよびモデルブループリントで設定した権限とオプションが上書きされてしまいました。この問題はKirby 4.9.0および5.4.0で修正されました。修正バージョンではページ、ファイル、ユーザーの作成時に使用される正規化コードが更新され、`blueprint`プロパティのフィルターが追加されました。これにより動的ブループリント設定の作成要求への注入が防止されています。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 24, 2026, midnight |
| Registration Date |
April 30, 2026, 12:26 p.m. |
| Last Update |
April 30, 2026, 12:26 p.m. |
|
CVSS3.0 : 重要
|
| Score |
8.8
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Affected System
| getkirby |
|
kirby 4.9.0 未満
|
|
kirby 5.0.0 以上 5.4.0 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月30日]
掲載 |
April 30, 2026, 12:26 p.m. |
NVD Vulnerability Information
CVE-2026-41325
| Summary |
Kirby is an open-source content management system. Kirby's user permissions control which user role is allowed to perform specific actions to content models in the CMS. These permissions are defined for each role in the user blueprint (`site/blueprints/users/...`). It is also possible to customize the permissions for each target model in the model blueprints (such as in `site/blueprints/pages/...`) using the `options` feature. The permissions and options together control the authorization of user actions. Kirby provides the `pages.create`, `files.create` and `users.create` permissions (among others). These permissions can again be set in the user blueprint and/or in the blueprint of the target model via `options`. Prior to versions 4.9.0 and 5.4.0, Kirby allowed to override the `options` during the creation of pages, files and users by injecting custom dynamic blueprint configuration into the model data. The injected `options` could include `'create' => true`, which then caused an override of the permissions and options configured by the site developer in the user and model blueprints. The problem has been patched in Kirby 4.9.0 and Kirby 5.4.0. The patched versions have updated the normalization code that is used during the creation of pages, files and users to include a filter for the `blueprint` property. This prevents the injection of dynamic blueprint configuration into the creation request.
|
| Publication Date |
April 24, 2026, 10:16 a.m. |
| Registration Date |
April 25, 2026, 4:07 a.m. |
| Last Update |
April 28, 2026, 4:07 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:getkirby:kirby:*:*:*:*:*:*:*:* |
|
|
|
4.9.0 |
| cpe:2.3:a:getkirby:kirby:*:*:*:*:*:*:*:* |
5.0.0 |
|
|
5.4.0 |
Related information, measures and tools
Common Vulnerabilities List