CVE-2026-34557
CriticalSummary
CVE-2026-34557 dotyczy aplikacji CI4MS, która przed wersją 0.31.0.0 nieprawidłowo sanitizuje dane wejściowe kontrolowane przez użytkownika w funkcjonalności zarządzania grupami i rolami. W wyniku tego, złośliwe ładunki JavaScript mogą być wstrzykiwane i przechowywane na serwerze, a następnie niebezpiecznie renderowane w widokach administracyjnych.
Risk Assessment
Organizacja narażona jest na ataki typu stored XSS, co może prowadzić do przejęcia sesji administratora lub kradzieży danych. Wykorzystanie tej podatności może skutkować poważnymi konsekwencjami dla bezpieczeństwa systemu.
Recommendation
Zaleca się aktualizację aplikacji do wersji 0.31.0.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa w celu identyfikacji potencjalnych zagrożeń związanych z wstrzykiwaniem kodu.
Original NVD description (English source)
CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. Prior to version 0.31.0.0, the application fails to properly sanitize user-controlled input within group and role management functionality. Multiple input fields (three distinct group-related fields) can be injected with malicious JavaScript payloads, which are then stored server-side. These stored payloads are later rendered unsafely within privileged administrative views without proper output encoding, leading to stored cross-site scripting (XSS) within the role and permission management context. This issue has been patched in version 0.31.0.0.

