PT-2020-16379 · Kirby · Kirby Panel+1
Publicado
2020-12-08
·
Atualizado
2021-01-14
·
CVE-2020-26253
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Kirby CMS anteriores à 3.3.6
Versões do Kirby Panel anteriores à 2.5.14
Descrição
O problema diz respeito a uma vulnerabilidade no Kirby CMS e no Kirby Panel, na qual o painel de administração pode ser acessado se estiver hospedado em um domínio .dev. Isso se deve a uma suposição desatualizada de que domínios .dev são locais, o que não é mais verdade, já que esses domínios se tornaram publicamente disponíveis. A vulnerabilidade pode ser explorada se um site estiver hospedado em um domínio .dev ou estiver atrás de um proxy reverso, e a primeira conta do Panel ainda não tiver sido registrada no servidor público. O número estimado de dispositivos potencialmente afetados não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.
Os detalhes técnicos sobre a exploração incluem:
-
Pontos de extremidade da API:
yourdomain.dev/panel -
Parâmetros ou variáveis vulneráveis: Nenhum especificado
-
Nomes de funções: Nenhum especificado
Recomendações
Para resolver o problema nas versões do Kirby CMS anteriores à 3.3.6, atualize para a versão 3.3.6 ou posterior.
Para resolver o problema nas versões do Kirby Panel anteriores à 2.5.14, atualize para a versão 2.5.14 ou posterior.
Para sites Kirby 2 que não podem ser atualizados para o Kirby 3, atualize para o Kirby 2.5.14.
Como solução alternativa temporária para sites Kirby 2 em versões mais antigas, aplique as alterações do commit especificado.
Correção
Origin Validation Error
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kirby Cms
Kirby Panel