Vulnerabilità: CVE-2020-26255

Kirby è un CMS. In Kirby CMS (getkirby / CMS) prima della versione 3.4.5, e il Pannello di Kirby prima della versione 2.5.14, un editor con pieno accesso al Pannello di Kirby può caricare un file PHP .phar ed eseguirlo sul server. Questa vulnerabilità è fondamentale se si potrebbe avere potenziali aggressori nel tuo gruppo di utenti del Pannello autenticati, in quanto possono accedere al server con un tale file di Phar. I visitatori che non hanno accesso Panel * * non possono utilizzare questo vettore di attacco. Il problema è stato aggiornato a Kirby 2.5.14 e 3.4.5 Kirby. Si prega di aggiornare ad uno di questi o una versione successiva per correggere la vulnerabilità. Nota: Kirby 2 raggiunge la fine della vita il 31 dicembre, 2020. Si consiglia pertanto di aggiornare i vostri siti Kirby 2 a Kirby 3. Se non è possibile aggiornare, abbiamo ancora consiglia di aggiornamento per Kirby 2.5.14.


https://github.com/getkirby/kirby/security/advisories/GHSA-g3h8-cg9x-47qw
https://github.com/getkirby/kirby/security/advisories/GHSA-g3h8-cg9x-47qw
https://github.com/getkirby-v2/panel/commit/5a569d4e3ddaea2b6628d7ec1472a3e8bc410881
https://github.com/getkirby-v2/panel/commit/5a569d4e3ddaea2b6628d7ec1472a3e8bc410881
https://github.com/getkirby/kirby/commit/db8f371b13036861c9cc5ba3e85e27f73fce5e09
https://github.com/getkirby/kirby/commit/db8f371b13036861c9cc5ba3e85e27f73fce5e09
https://github.com/getkirby/kirby/releases/tag/3.4.5
https://github.com/getkirby/kirby/releases/tag/3.4.5
https://packagist.org/packages/getkirby/cms
https://packagist.org/packages/getkirby/cms
https://packagist.org/packages/getkirby/panel
https://packagist.org/packages/getkirby/panel
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26255


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi