Vulnerabilidad en Kirby (CVE-2024-27087)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
26/02/2024
Última modificación:
31/12/2024
Descripción
Kirby es un sistema de gestión de contenidos. El nuevo campo de enlace introducido en Kirby 4 permite varios tipos de enlaces diferentes, cada uno de los cuales valida el enlace ingresado en el formato de URL correspondiente. También incluye un tipo de enlace "Personalizado" para casos de uso avanzados que no se ajustan a ninguno de los formatos de enlace predefinidos. Como el tipo de enlace "Personalizado" pretende ser flexible, también permite el esquema de URL javascript:. En algunos casos de uso, esto puede ser intencionado, pero los atacantes también pueden utilizarlo indebidamente para ejecutar código JavaScript arbitrario cuando un usuario o visitante hace clic en un enlace que se genera a partir del contenido del campo de enlace. Esta vulnerabilidad está parcheada en 4.1.1.
Impacto
Puntuación base 3.x
4.60
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:getkirby:kirby:*:*:*:*:*:*:*:* | 4.0.0 (incluyendo) | 4.1.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/getkirby/kirby/commit/cda3dd9a15228d35e62ff86cfa87a67e7c687437
- https://github.com/getkirby/kirby/security/advisories/GHSA-63h4-w25c-3qv4
- https://github.com/getkirby/kirby/commit/cda3dd9a15228d35e62ff86cfa87a67e7c687437
- https://github.com/getkirby/kirby/security/advisories/GHSA-63h4-w25c-3qv4