Vulnerabilidad en Kirby (CVE-2022-39314)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/10/2022
Última modificación:
30/01/2026
Descripción
Kirby es un CMS de archivo plano. En versiones anteriores a 3.5.8.2, 3.6.6.2, 3.7.5.1 y 3.8.1, Kirby está sujeto a la enumeración de usuarios debido a una restricción inapropiada de intentos de autenticación excesivos. Esta vulnerabilidad sólo afecta si está usando el método de autenticación "code" o "password-reset" con la opción "auth.methods" o si ha activado la opción "debug" en producción. Al usar dos o más direcciones IP y múltiples intentos de inicio de sesión, las cuentas de usuario válidas serán bloqueadas, pero las cuentas no válidas no lo harán, conllevando a una enumeración de cuentas. Este problema ha sido parcheado en versiones 3.5.8.2, 3.6.6.2, 3.7.5.1 y 3.8.1. Si no puede actualizar inmediatamente, puede mitigar el problema al establecer la opción "auth.methods" como "password", lo que deshabilita los formularios de inicio de sesión y de restablecimiento de contraseña basados en código
Impacto
Puntuación base 3.x
3.70
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:getkirby:kirby:*:*:*:*:*:*:*:* | 3.5.8.2 (excluyendo) | |
| cpe:2.3:a:getkirby:kirby:*:*:*:*:*:*:*:* | 3.6.0 (incluyendo) | 3.6.6.2 (excluyendo) |
| cpe:2.3:a:getkirby:kirby:*:*:*:*:*:*:*:* | 3.7.0 (incluyendo) | 3.7.5.1 (excluyendo) |
| cpe:2.3:a:getkirby:kirby:3.8.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:getkirby:kirby:3.8.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:getkirby:kirby:3.8.0:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:getkirby:kirby:3.8.0:rc3:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página