CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-34566

Critical
Published: Translated: NVD NIST

Summary

CI4MS to szkielet CMS oparty na CodeIgniter 4, który przed wersją 0.31.0.0 nieprawidłowo sanitizował dane wejściowe kontrolowane przez użytkownika w funkcjonalności zarządzania stronami. Wiele pól wejściowych akceptowało ładunki JavaScript kontrolowane przez atakującego, które były przechowywane po stronie serwera i później renderowane bez odpowiedniego kodowania wyjścia, co prowadziło do przechowywanego ataku XSS opartego na DOM.

Risk Assessment

Organizacja jest narażona na ataki XSS, które mogą prowadzić do kradzieży danych użytkowników, przejęcia sesji lub innego złośliwego działania na stronie. Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwego kodu JavaScript, co zagraża bezpieczeństwu aplikacji i jej użytkowników.

Recommendation

Zaleca się aktualizację aplikacji do wersji 0.31.0.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa, aby upewnić się, że wszystkie dane wejściowe są odpowiednio sanitizowane i kodowane.

Original NVD description (English source)

CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. Prior to version 0.31.0.0, the application fails to properly sanitize user-controlled input within the Page Management functionality when creating or editing pages. Multiple input fields accept attacker-controlled JavaScript payloads that are stored server-side. These stored values are later rendered without proper output encoding across administrative page lists and public-facing page views, leading to stored DOM-based cross-site scripting (XSS). This issue has been patched in version 0.31.0.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS