CVE-2026-34566
KrytyczneStreszczenie
CI4MS to szkielet CMS oparty na CodeIgniter 4, który przed wersją 0.31.0.0 nieprawidłowo sanitizował dane wejściowe kontrolowane przez użytkownika w funkcjonalności zarządzania stronami. Wiele pól wejściowych akceptowało ładunki JavaScript kontrolowane przez atakującego, które były przechowywane po stronie serwera i później renderowane bez odpowiedniego kodowania wyjścia, co prowadziło do przechowywanego ataku XSS opartego na DOM.
Ocena ryzyka
Organizacja jest narażona na ataki XSS, które mogą prowadzić do kradzieży danych użytkowników, przejęcia sesji lub innego złośliwego działania na stronie. Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwego kodu JavaScript, co zagraża bezpieczeństwu aplikacji i jej użytkowników.
Rekomendacja
Zaleca się aktualizację aplikacji do wersji 0.31.0.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa, aby upewnić się, że wszystkie dane wejściowe są odpowiednio sanitizowane i kodowane.
Oryginalny opis (angielski, źródło NVD)
CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. Prior to version 0.31.0.0, the application fails to properly sanitize user-controlled input within the Page Management functionality when creating or editing pages. Multiple input fields accept attacker-controlled JavaScript payloads that are stored server-side. These stored values are later rendered without proper output encoding across administrative page lists and public-facing page views, leading to stored DOM-based cross-site scripting (XSS). This issue has been patched in version 0.31.0.0.

