CVE-2026-34560
KrytyczneStreszczenie
CI4MS to szkielet CMS oparty na CodeIgniter 4, który przed wersją 0.31.0.0 niebezpiecznie renderował dane wejściowe kontrolowane przez użytkownika w interfejsie logów. W przypadku istnienia jakiegokolwiek ładunku XSS w zapisanych danych, był on renderowany bez odpowiedniego kodowania wyjścia.
Ocena ryzyka
Problem ten prowadzi do scenariusza Blind XSS, ponieważ atakujący nie widzi natychmiastowego wykonania. Ładunek jest przechowywany w logach aplikacji i wykonuje się dopiero później, gdy administrator przegląda stronę logów.
Rekomendacja
Zaleca się aktualizację aplikacji do wersji 0.31.0.0, w której problem został naprawiony, aby zminimalizować ryzyko związane z atakami XSS.
Oryginalny opis (angielski, źródło NVD)
CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. Prior to version 0.31.0.0, the application renders user-controlled input unsafely within the logs interface. If any stored XSS payload exists within logged data, it is rendered without proper output encoding. This issue becomes a Blind XSS scenario because the attacker does not see immediate execution. Instead, the payload is stored within application logs and only executes later when an administrator views the logs page. This issue has been patched in version 0.31.0.0.

