Katalog CVE

CVE-2026-34559

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

CI4MS to szkielet CMS oparty na CodeIgniter 4, który przed wersją 0.31.0.0 nieprawidłowo sanitizował dane wejściowe kontrolowane przez użytkownika podczas tworzenia lub edytowania tagów bloga. Atakujący może wstrzyknąć złośliwy ładunek JavaScript w pole nazwy tagu, który jest następnie przechowywany na serwerze.

Ocena ryzyka

Złośliwy ładunek JavaScript może być później renderowany w niebezpieczny sposób na publicznych stronach tagów oraz w interfejsach administracyjnych, co prowadzi do ataków typu stored cross-site scripting (XSS).

Rekomendacja

Zaleca się aktualizację aplikacji do wersji 0.31.0.0 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. Prior to version 0.31.0.0, the application fails to properly sanitize user-controlled input when creating or editing blog tags. An attacker can inject a malicious JavaScript payload into the tag name field, which is then stored server-side. This stored payload is later rendered unsafely across public tag pages and administrative interfaces without proper output encoding, leading to stored cross-site scripting (XSS). This issue has been patched in version 0.31.0.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS