🔴 《严重安全漏洞:CVE-2026-54003》

CVSS 评分: 严重(9.1)  状态: Received  发布时间: 2026-07-09


漏洞简介

CVE-2026-54003 是一个存在于 Kirby 开源内容管理系统(CMS)中的安全漏洞。该漏洞属于 CWE-454 分类,即“对外部输入的不安全信任(External Initialization of Trusted Variables)”。

具体来说,在 Kirby 版本 4.9.4 之前 以及 5.4.4 之前,如果站点运行在配置了反向代理(reverse proxy)的公开可访问服务器上,并且该反向代理设置了 ForwardedX-Client-IPX-Real-IP 请求头(request header),那么系统在进行本地 IP 检查(local-IP checks)时会错误地信任这些由外部传入的 HTTP 头部信息。

由于这一错误信任,远程攻击者可以通过伪造上述请求头,使系统误认为请求来自本地网络(localhost 或内网)。这导致在尚未配置任何用户账户的 Kirby 站点上,攻击者能够绕过访问限制,成功安装 Panel(管理面板)并创建第一个管理员(admin)用户。

该漏洞已在 Kirby 4.9.45.4.4 版本中得到修复。

影响范围

  • 受影响版本
    • Kirby CMS 版本 < 4.9.4
    • Kirby CMS 版本 >= 5.0.0 且 < 5.4.4
  • 必要条件
    • 站点运行在公开可访问的服务器上
    • 服务器前端配置了反向代理(reverse proxy)
    • 反向代理允许传递 ForwardedX-Client-IPX-Real-IP 请求头

风险分析

  • 攻击向量:远程网络攻击(AV:N),攻击复杂度低(AC:L),需要攻击者具备一定的网络欺骗能力(AT:P),无需用户交互(UI:N),无需任何权限(PR:N)。
  • 攻击后果
    • 机密性影响(VC:H):攻击者成功创建管理员账户后,可以访问站点后台的所有敏感数据,包括用户信息、配置、内容等。
    • 完整性影响(VI:H):攻击者可以修改站点内容、配置、插件等,植入恶意代码或篡改数据。
    • 可用性影响(VA:N):该漏洞本身不直接导致服务不可用,但攻击者后续操作可能间接影响站点可用性。
  • CVSS 4.0 评分:根据 CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X 向量,该漏洞的严重性较高,主要威胁在于攻击者可以完全接管未初始化的 Kirby 站点管理权限。

总结:该漏洞允许远程攻击者在满足特定网络配置条件下,绕过本地 IP 检查机制,直接安装管理面板并创建管理员账户,从而完全控制目标 Kirby 站点。建议所有受影响版本的用户立即升级至 4.9.4 或 5.4.4 及以上版本。


🔍 技术细节

字段
CVE ID CVE-2026-54003
CVSS 评分 9.1 🔴
严重程度 严重
CVSS 向量 CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
CWE 分类 CWE-454
发布时间 2026-07-09
最后更新 2026-07-09
状态 Received
数据来源 security-advisories@github.com

🔗 参考链接