V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыДокументация
К каталогу
CVE-2023-38490
CVE
КритическийПодтвержденаЭксплойт есть

Kirby — это система управления контентом. Уязвимость в версиях до 3.5.8.3, 3.6.6.3, 3.7.5.2, 3.8.4.1 и 3.9.6 затрагивает только сайты Kirby…

CVSS
10.0
Критический
EPSS
0.20
p95
Опубликовано
2023-01-01
Обновлено
2023-01-01
Описание

Kirby — это система управления контентом. Уязвимость в версиях до 3.5.8.3, 3.6.6.3, 3.7.5.2, 3.8.4.1 и 3.9.6 затрагивает только сайты Kirby, использующие обработчик данных `Xml` (например, `Data::decode($string, 'xml')`) или метод `Xml::parse()` в коде сайта или плагина. Ядро Kirby не использует ни один из затронутых методов. Внешние XML-сущности (XXE) — это малоиспользуемая функция в языке разметки XML, которая позволяет включать данные из внешних файлов в структуру XML. Если имя внешнего файла может контролироваться злоумышленником, это становится уязвимостью, которую можно использовать для различных воздействий на систему, таких как раскрытие внутренних или конфиденциальных данных, хранящихся на сервере (раскрытие произвольных файлов), или для выполнения сетевых запросов от имени сервера (подделка запросов на стороне сервера, SSRF). Метод `Xml::parse()` Kirby использовал константу `LIBXML_NOENT` PHP, которая включала обработку внешних XML-сущностей во время операции синтаксического анализа. Метод `Xml::parse()` используется в обработчике данных `Xml` (например, `Data::decode($string, 'xml')`). И уязвимый метод, и обработчик данных не используются в ядре Kirby. Однако они могут использоваться в коде сайта или плагина, например, для синтаксического анализа RSS-каналов или других XML-файлов. Если эти файлы имеют внешнее происхождение (например, загружены пользователем или получены с внешнего URL-адреса), злоумышленники могут включить внешнюю сущность в XML-файл, который затем будет обработан в процессе синтаксического анализа. Сайты Kirby, которые не используют синтаксический анализ XML в коде сайта или плагина, *не* подвержены уязвимости. Проблема была исправлена в Kirby 3.5.8.3, 3.6.6.3, 3.7.5.2, 3.8.4.1 и 3.9.6. Во всех упомянутых выпусках разработчики удалили константу `LIBXML_NOENT`, поскольку обработка внешних сущностей выходит за рамки логики синтаксического анализа. Это защищает все случаи использования метода от описанной уязвимости.

Теги · CWE
Без аутентификации
CWE-611
CAPEC-221
Затронутые продукты
Kirby 3.5.0–3.5.8.3Kirby 3.6.0–3.6.6.3Kirby 3.7.0–3.7.5.2Kirby 3.8.0–3.8.4.1Kirby 3.9.0–3.9.6
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N
Хронология
2023-01-01
Опубликована
2023-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: C
Изменена (C)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.204 · p95
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
CVE-2023-38490
github-poc · https://github.com/Acceis/exploit-CVE-2023-38490
Enterprise
Уязвимое ПО
ПродуктВендорСтатус
kirby*Отслеживается
Источники данных
CVE