CVE-2026-34564
CriticalSummary
CVE-2026-34564 dotyczy aplikacji CI4MS, która przed wersją 0.31.0.0 nieprawidłowo sanitizuje dane wejściowe kontrolowane przez użytkownika podczas dodawania stron do menu nawigacyjnego. W wyniku tego, dane związane ze stronami są przechowywane na serwerze i renderowane bez odpowiedniego kodowania, co prowadzi do podatności na przechowywane ataki XSS.
Risk Assessment
Organizacja może być narażona na ataki XSS, które mogą prowadzić do kradzieży danych użytkowników lub przejęcia sesji administracyjnych. W szczególności, atakujący może wykorzystać tę podatność do wstrzykiwania złośliwego kodu w interfejsach administracyjnych oraz publicznych menu nawigacyjnych.
Recommendation
Zaleca się aktualizację aplikacji do wersji 0.31.0.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji w celu identyfikacji innych potencjalnych luk.
Original NVD description (English source)
CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. Prior to version 0.31.0.0, the application fails to properly sanitize user-controlled input when adding Pages to navigation menus through the Menu Management functionality. Page-related data selected via the Pages section is stored server-side and rendered without proper output encoding. This stored payload is later rendered unsafely within administrative interfaces and public-facing navigation menus, leading to stored DOM-based cross-site scripting (XSS). This issue has been patched in version 0.31.0.0.

