Katalog CVE

CVE-2026-34569

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

CI4MS to szkielet CMS oparty na CodeIgniter 4, który przed wersją 0.31.0.0 nieprawidłowo sanitizował dane wejściowe kontrolowane przez użytkownika podczas tworzenia lub edytowania kategorii bloga. Atakujący może wstrzyknąć złośliwy kod JavaScript do pola tytułu kategorii, co prowadzi do przechowywanego ataku XSS.

Ocena ryzyka

Zagrożenie to może prowadzić do kradzieży danych użytkowników, przejęcia sesji lub innych ataków na użytkowników odwiedzających strony bloga. Naraża to organizację na utratę reputacji oraz potencjalne straty finansowe.

Rekomendacja

Zaleca się aktualizację aplikacji do wersji 0.31.0.0 lub nowszej, aby załatać tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy sanitizacji danych wejściowych oraz odpowiednie kodowanie wyjścia.

Oryginalny opis (angielski, źródło NVD)

CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. Prior to version 0.31.0.0, the application fails to properly sanitize user-controlled input when creating or editing blog categories. An attacker can inject a malicious JavaScript payload into the category title field, which is then stored server-side. This stored payload is later rendered unsafely across public-facing blog category pages, administrative interfaces, and blog post views without proper output encoding, leading to stored cross-site scripting (XSS). This issue has been patched in version 0.31.0.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS