Vulnerabilità: CVE-2020-26253

Kirby è un CMS. In Kirby CMS (getkirby / CMS) prima della versione 3.3.6, e il Pannello di Kirby prima della versione 2.5.14 v’è una vulnerabilità in cui il pannello di amministrazione può essere accessibile se ospitato su un dominio .dev. Al fine di proteggere le nuove installazioni su server pubblici che non dispongono di un account amministratore per il pannello ancora, blocchiamo la registrazione dell’account lì per impostazione predefinita. Questa è una caratteristica di sicurezza, che abbiamo implementato anni fa a Kirby 2. aiuta ad evitare che si dimentica la registrazione del primo account amministratore su un server pubblico. In questo caso, & # 8211; senza il nostro blocco di sicurezza & # 8211; qualcun altro potrebbe teoricamente essere in grado di trovare il tuo sito, scoprire su cui sta girando Kirby, trovare il pannello e quindi registrare il conto prima. Si tratta di una situazione improbabile, ma è pur sempre un certo rischio. Per essere in grado di registrare il primo account Panel su un server pubblico, è necessario rispettare il programma di installazione tramite l’impostazione di configurazione. Questo aiuta a spingere tutti gli utenti alla migliore pratica di registrazione del conto primo pannello sul computer locale e caricarlo insieme al resto del sito. Questa implementazione blocco di installazione nelle versioni Kirby prima 3.3.6 ancora presume che .DEV domini sono i domini locali, che non è più vero. Nel frattempo, tali domini si sono resi disponibili al pubblico. Questo significa che il nostro blocco di installazione non è più funziona come previsto se si utilizza un dominio .dev per il tuo sito Kirby. Inoltre il controllo di installazione locale può anche fallire se il tuo sito è dietro un proxy inverso. Si è interessati solo se si utilizza un dominio .dev o il vostro sito è dietro un proxy inverso e non si è ancora registrato il tuo account primo pannello sul server pubblico e qualcuno trova il tuo sito e cerca di login a `yourdomain.dev / panel` prima di registrare il tuo primo account. Non siete interessati se è già stato creato uno o più account del pannello (non importa se su un dominio .dev o dietro un proxy inverso). Il problema è stato aggiornato a Kirby 3.3.6. Si prega di aggiornare a questa o una versione successiva per risolvere la vulnerabilità.


https://github.com/getkirby/kirby/security/advisories/GHSA-2ccx-2gf3-8xvv
https://github.com/getkirby/kirby/security/advisories/GHSA-2ccx-2gf3-8xvv
https://github.com/getkirby-v2/panel/commit/7f9ac1876bacb89fd8f142f5e561a02ebb725baa
https://github.com/getkirby-v2/panel/commit/7f9ac1876bacb89fd8f142f5e561a02ebb725baa
https://github.com/getkirby/kirby/releases/tag/3.3.6
https://github.com/getkirby/kirby/releases/tag/3.3.6
https://packagist.org/packages/getkirby/cms
https://packagist.org/packages/getkirby/cms
https://packagist.org/packages/getkirby/panel
https://packagist.org/packages/getkirby/panel
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26253


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi