Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en "yourdomain.dev/panel" en el panel de administración en un dominio .dev en Kirby CMS (getkirby/cms) y Kirby Panel (CVE-2020-26253)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/12/2020
Última modificación:
08/12/2020

Descripción

Kirby es un CMS. En Kirby CMS (getkirby/cms) anterior a versión 3.3.6, y Kirby Panel anterior a versión 2.5.14, se presenta una vulnerabilidad en la que se puede acceder al panel de administración si está alojado en un dominio .dev. A fin de proteger nuevas instalaciones en servidores públicos que no tienen una cuenta de administrador para el Panel aún, bloqueamos el registro de cuenta allí por defecto. Esta es una característica de seguridad que implementamos hace años en Kirby versión 2. Ayuda a evitar que olvide registrar su primera cuenta de administrador en un servidor público. En este caso, sin nuestro bloqueo de seguridad, teóricamente alguien más podría encontrar su sitio, detectar que se está ejecutando en Kirby, buscar el Panel y luego registrar la cuenta primero. Es una situación poco probable, pero sigue siendo un cierto riesgo. Para poder registrar la primera cuenta del Panel en un servidor público, tienes que aplicar el instalador por medio de un ajuste de configuración. Esto ayuda a impulsar a todos los usuarios a la mejor práctica de registrar su primera cuenta del Panel en su máquina local y cargarla junto con el resto del sitio. Esta implementación del bloque de instalación en las versiones de Kirby anteriores a 3.3.6 aún asumía que los dominios .dev son dominios locales, lo cual ya no es cierto. Mientras tanto, esos dominios se hicieron disponibles públicamente. Esto significa que nuestro bloque de instalación ya no funciona como se esperaba si usa un dominio .dev para su sitio de Kirby. Además, la comprobación de la instalación local también puede presentar un fallo si su sitio está detrás de un proxy inverso. Solo estará afectado si usa un dominio .dev o su sitio está detrás de un proxy inverso y aún no ha registrado su primera cuenta del Panel en el servidor público y alguien encuentra su sitio e intenta iniciar sesión en "yourdomain.dev/panel" antes de que registre su primera cuenta. No estará afectado si ya ha creado una o varias cuentas del Panel (sin importar si está en un dominio .dev o detrás de un proxy inverso). El problema ha sido parcheado en Kirby versión 3.3.6. Actualice a esta o una versión posterior para corregir la vulnerabilidad

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.90 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Vector 2.0
AV:N/AC:M/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:getkirby:kirby:*:*:*:*:*:*:*:* 3.3.6 (excluyendo)
cpe:2.3:a:getkirby:panel:*:*:*:*:*:*:*:* 2.5.14 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información