CVE-2026-34568
KrytyczneStreszczenie
CI4MS to szkielet CMS oparty na CodeIgniter 4, który przed wersją 0.31.0.0 nieprawidłowo sanitizował dane wejściowe kontrolowane przez użytkownika podczas tworzenia lub edytowania postów na blogu. Atakujący może wstrzyknąć złośliwy ładunek JavaScript do treści postu, który jest następnie przechowywany na serwerze i renderowany w różnych widokach aplikacji bez odpowiedniego kodowania wyjścia, co prowadzi do przechowywanego ataku XSS.
Ocena ryzyka
Organizacja jest narażona na ataki XSS, które mogą prowadzić do kradzieży danych użytkowników, przejęcia sesji lub innych działań złośliwych. Wykorzystanie tej podatności może zagrażać integralności i bezpieczeństwu aplikacji oraz danych użytkowników.
Rekomendacja
Zaleca się aktualizację aplikacji do wersji 0.31.0.0 lub nowszej, aby załatać tę podatność. Dodatkowo, warto wdrożyć odpowiednie mechanizmy sanitizacji i kodowania danych wejściowych oraz wyjściowych w aplikacji.
Oryginalny opis (angielski, źródło NVD)
CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. Prior to version 0.31.0.0, the application fails to properly sanitize user-controlled input when creating or editing blog posts. An attacker can inject a malicious JavaScript payload into blog post content, which is then stored server-side. This stored payload is later rendered unsafely in multiple application views without proper output encoding, leading to stored cross-site scripting (XSS). This issue has been patched in version 0.31.0.0.

