CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-25510

Critical
Published: Translated: NVD NIST

Summary

CI4MS to szkielet CMS oparty na CodeIgniter 4, który oferuje gotową do produkcji, modułową architekturę z autoryzacją RBAC i wsparciem dla motywów. Przed wersją 0.28.5.0, uwierzytelniony użytkownik z uprawnieniami edytora plików mógł osiągnąć zdalne wykonanie kodu (RCE) poprzez wykorzystanie punktów końcowych do tworzenia i zapisywania plików, co pozwalało na przesyłanie i wykonywanie dowolnego kodu PHP na serwerze.

Risk Assessment

Ryzyko dla organizacji polega na możliwości zdalnego wykonania kodu przez nieautoryzowanych użytkowników, co może prowadzić do kompromitacji serwera i danych. Atakujący mogą wykorzystać tę podatność do przejęcia kontroli nad systemem.

Recommendation

Zaleca się aktualizację do wersji 0.28.5.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt uprawnień użytkowników, aby ograniczyć dostęp do edytora plików tylko do zaufanych osób.

Original NVD description (English source)

CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. Prior to version 0.28.5.0, an authenticated user with file editor permissions can achieve Remote Code Execution (RCE) by leveraging the file creation and save endpoints, an attacker can upload and execute arbitrary PHP code on the server. This issue has been patched in version 0.28.5.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS