CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-34567

Critical
Published: Translated: NVD NIST

Summary

CVE-2026-34567 dotyczy aplikacji CI4MS, która przed wersją 0.31.0.0 nieprawidłowo sanitizuje dane wejściowe kontrolowane przez użytkownika podczas tworzenia lub edytowania postów blogowych w sekcji Kategorii. Atakujący może wstrzyknąć złośliwy kod JavaScript, który jest następnie przechowywany na serwerze i niebezpiecznie renderowany podczas wyświetlania Kategorii w postach blogowych, co prowadzi do ataku typu stored XSS.

Risk Assessment

Organizacja jest narażona na ataki XSS, które mogą prowadzić do kradzieży danych użytkowników, przejęcia sesji lub innego złośliwego działania. Wykorzystanie tej podatności może również wpłynąć na reputację organizacji oraz zaufanie użytkowników.

Recommendation

Zaleca się aktualizację aplikacji do wersji 0.31.0.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji w celu identyfikacji innych potencjalnych luk.

Original NVD description (English source)

CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. Prior to version 0.31.0.0, the application fails to properly sanitize user-controlled input when creating or editing blog posts within the Categories section. An attacker can inject a malicious JavaScript payload into the Categories content, which is then stored server-side. This stored payload is later rendered unsafely when the Categories are viewed via blog posts, without proper output encoding, leading to stored cross-site scripting (XSS). This issue has been patched in version 0.31.0.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS