PT-2026-36818 · Kirby · Kirby
Bastian Allgeier
·
Publicado
2026-04-30
·
Atualizado
2026-05-11
·
CVE-2026-42137
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Kirby versões anteriores a 4.9.0
Kirby versões anteriores a 5.4.0
Description
A falta de autorização permite que usuários autenticados realizem ações às quais não deveriam ter acesso, podendo levar ao acesso não autorizado a informações sensíveis. O problema ocorre quando as permissões
pages.access/list e files.access/list não são verificadas consistentemente no Painel e na API REST. Especificamente, modelos para os quais as permissões de acesso ou listagem estavam desativadas não eram ocultados consistentemente nos seguintes cenários:- O diálogo de alterações do Painel listava modelos alterados, independentemente do status de listagem.
- A API REST não filtrava consistentemente coleções e modelos relacionados, incluindo a falta de verificações para filhos, rascunhos, arquivos, pais e irmãos de páginas; pais e irmãos de arquivos; filhos, rascunhos e arquivos do modelo do site; e arquivos de usuários.
- Verificações de permissão incorretas foram usadas para rotas de pesquisa e filhos de sites e páginas, utilizando
pages.accessem vez depages.list, efiles.accessem vez defiles.listpara arquivos e rotas de pesquisa de contas, sites, páginas e usuários. - Imagens do Painel para site, páginas e usuários eram exibidas em listas de modelos pais, mesmo que os arquivos de imagem não fossem listáveis.
- Os alvos de link para arquivos anteriores e próximos na visualização de arquivos não eram restringidos pelas permissões de listagem.
Recommendations
Atualizar para a versão 4.9.0 ou posterior.
Atualizar para a versão 5.4.0 ou posterior.
Correção
Missing Authorization
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Kirby