CVE-2026-34559
CriticalSummary
CI4MS to szkielet CMS oparty na CodeIgniter 4, który przed wersją 0.31.0.0 nieprawidłowo sanitizował dane wejściowe kontrolowane przez użytkownika podczas tworzenia lub edytowania tagów bloga. Atakujący może wstrzyknąć złośliwy ładunek JavaScript w pole nazwy tagu, który jest następnie przechowywany na serwerze.
Risk Assessment
Złośliwy ładunek JavaScript może być później renderowany w niebezpieczny sposób na publicznych stronach tagów oraz w interfejsach administracyjnych, co prowadzi do ataków typu stored cross-site scripting (XSS).
Recommendation
Zaleca się aktualizację aplikacji do wersji 0.31.0.0 lub nowszej, aby usunąć tę podatność.
Original NVD description (English source)
CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. Prior to version 0.31.0.0, the application fails to properly sanitize user-controlled input when creating or editing blog tags. An attacker can inject a malicious JavaScript payload into the tag name field, which is then stored server-side. This stored payload is later rendered unsafely across public tag pages and administrative interfaces without proper output encoding, leading to stored cross-site scripting (XSS). This issue has been patched in version 0.31.0.0.

