Vulnerabilidad en el campo blocks de Kirby (CVE-2021-41258)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
16/11/2021
Última modificación:
18/11/2021
Descripción
Kirby es un CMS estructurado de archivos de código abierto. En las versiones afectadas, el campo blocks de Kirby almacena datos estructurados para cada bloque. Estos datos son usados en los fragmentos de bloque para convertir los bloques a HTML para ser usados en sus plantillas. Recomendamos escapar los caracteres especiales de HTML para protegerse de los ataques de tipo cross-site scripting (XSS). Lamentablemente, el fragmento predeterminado para el bloque de imágenes no usaba nuestro ayudante de escape. Esto permitía incluir código HTML malicioso en los campos source, alt y link del bloque de imagen, que luego se mostraría en el frontend del sitio y se ejecutaría en los navegadores de los visitantes del sitio y de los usuarios registrados que estuvieran navegando por él. Los atacantes deben estar en su grupo de usuarios autenticados del Panel para poder explotar esta debilidad. Los usuarios que no hacen uso del campo blocks no están afectados. Este problema ha sido parcheado en la versión 3.5.8 de Kirby al escapar los caracteres HTML especiales en la salida del fragmento de bloque de imagen por defecto. Por favor, actualice a esta versión o a una posterior para corregir la vulnerabilidad
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:getkirby:kirby:*:*:*:*:*:*:*:* | 3.5.0 (incluyendo) | 3.5.7.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página