CVE-2026-34567
CriticalSummary
CVE-2026-34567 dotyczy aplikacji CI4MS, która przed wersją 0.31.0.0 nieprawidłowo sanitizuje dane wejściowe kontrolowane przez użytkownika podczas tworzenia lub edytowania postów blogowych w sekcji Kategorii. Atakujący może wstrzyknąć złośliwy kod JavaScript, który jest następnie przechowywany na serwerze i niebezpiecznie renderowany podczas wyświetlania Kategorii w postach blogowych, co prowadzi do ataku typu stored XSS.
Risk Assessment
Organizacja jest narażona na ataki XSS, które mogą prowadzić do kradzieży danych użytkowników, przejęcia sesji lub innego złośliwego działania. Wykorzystanie tej podatności może również wpłynąć na reputację organizacji oraz zaufanie użytkowników.
Recommendation
Zaleca się aktualizację aplikacji do wersji 0.31.0.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji w celu identyfikacji innych potencjalnych luk.
Original NVD description (English source)
CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. Prior to version 0.31.0.0, the application fails to properly sanitize user-controlled input when creating or editing blog posts within the Categories section. An attacker can inject a malicious JavaScript payload into the Categories content, which is then stored server-side. This stored payload is later rendered unsafely when the Categories are viewed via blog posts, without proper output encoding, leading to stored cross-site scripting (XSS). This issue has been patched in version 0.31.0.0.

