Katalog CVE

CVE-2026-34558

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

CVE-2026-34558 dotyczy aplikacji CI4MS, która przed wersją 0.31.0.0 nieprawidłowo sanitizuje dane wejściowe kontrolowane przez użytkownika w funkcjonalności zarządzania metodami. Wiele pól wejściowych akceptuje złośliwe ładunki JavaScript, które są przechowywane na serwerze bez sanitizacji, co prowadzi do ataków typu Stored DOM-Based Cross-Site Scripting (XSS).

Ocena ryzyka

Organizacja narażona jest na ataki XSS, które mogą prowadzić do kradzieży danych sesji, przejęcia kont administratorów oraz innych poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację aplikacji do wersji 0.31.0.0 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów sanitizacji danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. Prior to version 0.31.0.0, the application fails to properly sanitize user-controlled input within the Methods Management functionality when creating or managing application methods/pages. Multiple input fields accept attacker-controlled JavaScript payloads that are stored server-side without sanitization or output encoding. These stored values are later rendered directly into administrative interfaces and global navigation components without proper encoding, resulting in Stored DOM-Based Cross-Site Scripting (XSS). This issue has been patched in version 0.31.0.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS