Was ist gespeicherte XSS?

Gespeicherte XSS, oder persistente XSS, tritt auf, wenn bösartiger JavaScript-Code in die Datenbank einer Website eingeschleust wird. Dieser Code wird dann jedes Mal ausgeführt, wenn ein Benutzer eine Seite besucht, die die gespeicherten Daten anzeigt, was potenziell zur Übernahme von Konten oder anderen bösartigen Aktivitäten führen kann.

CI4MS ist ein auf CodeIgniter 4 basierendes CMS-Skelett, das entwickelt wurde, um eine produktionsreife, modulare Architektur mit RBAC-Autorisierung und Theme-Unterstützung bereitzustellen. Es vereinfacht die Entwicklung komplexer Webanwendungen, indem es eine solide Grundlage und wiederverwendbare Komponenten bietet.

Wie aktualisiere ich CI4MS?

Sie können CI4MS mit dem Composer-Paketmanager aktualisieren. Führen Sie den Befehl `composer update ci4ms` im Stammverzeichnis Ihres Projekts aus, um auf die neueste Version zu aktualisieren, die die erforderlichen Sicherheitspatches enthält.

Welche Risiken bestehen, wenn CI4MS nicht gepatcht wird?

Wenn CI4MS nicht gepatcht wird, ist Ihre Anwendung anfällig für gespeicherte XSS-Angriffe. Angreifer könnten potenziell bösartigen Code einschleusen, um Benutzerkonten zu kompromittieren, Berechtigungen zu erweitern oder Ihre Website zu verunstalten. Eine sofortige Patching wird dringend empfohlen.

CI4MS: Mehrere gespeicherte XSS-Schwachstellen (CVE-2026)

In CI4MS, einem auf CodeIgniter 4 basierenden CMS, wurden mehrere gespeicherte Cross-Site-Scripting (XSS)-Schwachstellen identifiziert. Diese Schwachstellen könnten es Angreifern ermöglichen, die Kontrolle über Konten zu übernehmen und Berechtigungen zu erweitern. Ein Patch ist in Version 0.31.0.0 verfügbar.

Diese Schwachstellen reichen von mittel bis kritisch und können potenziell zu einer vollständigen Kompromittierung des Systems führen.

Was ist Ci4ms?

Ci4ms ist eine Komponente für Codeigniter. Es ist ein auf CodeIgniter 4 basierendes CMS-Skelett, das eine produktionsreife, modulare Architektur mit RBAC-Autorisierung und Theme-Unterstützung bietet. Ci4ms zielt darauf ab, die Entwicklung komplexer Webanwendungen durch die Bereitstellung einer soliden Grundlage und wiederverwendbarer Komponenten zu vereinfachen. Um mehr zu erfahren, suchen Sie nach allen Ci4ms CVEs.

CVE-2026-34565: Gespeicherte XSS in der Menüverwaltung (Beiträge)

CVSS9.1

Betroffene VersionenDiese Schwachstelle betrifft CI4MS-Versionen vor 0.31.0.0. Jede Anwendung, die die Menüverwaltungsfunktion mit Beiträgen verwendet, ist anfällig.

Kritische Schwachstelle, die die Ausführung von Remote-Code ermöglicht.

Der EPSS-Score von 0,046 deutet auf eine geringe Wahrscheinlichkeit einer Ausnutzung hin.

Die CI4MS-Anwendung versäumt es, benutzergesteuerte Eingaben beim Hinzufügen von Beiträgen zu Navigationsmenüs ordnungsgemäß zu bereinigen. Dies ermöglicht es einem Angreifer, bösartigen JavaScript-Code einzuschleusen, der serverseitig gespeichert und beim Rendern des Menüs ausgeführt wird, was zu einem DOM-basierten XSS-Angriff führt.

So beheben Sie CVE-2026-34565 in Ci4ms

Sofort patchen

1.Aktualisieren Sie Ihre CI4MS-Installation auf Version 0.31.0.0 oder höher.

CI4MS aktualisieren

composer update ci4ms

Workaround: Es gibt keine Problemumgehung. Aktualisieren Sie auf die gepatchte Version.

NextGuard kennzeichnet CVE-2026-34565 automatisch, wenn Ci4ms in einem Ihrer überwachten Projekte vorkommt – keine manuelle Suche erforderlich.

CVE-2026-34561: Gespeicherte XSS in den Systemeinstellungen (Social Media Management)

CVSS4.7

Betroffene VersionenDiese Schwachstelle betrifft CI4MS-Versionen vor 0.31.0.0. Jede Anwendung, die die Funktion Systemeinstellungen – Social Media Management verwendet, ist anfällig.

Mittlere Schwachstelle, die potenziell zur Offenlegung von Informationen führt.

Der EPSS-Score von 0,038 deutet auf eine geringe Wahrscheinlichkeit einer Ausnutzung hin.

Die CI4MS-Anwendung versäumt es, benutzergesteuerte Eingaben im Abschnitt Systemeinstellungen – Social Media Management ordnungsgemäß zu bereinigen. Ein Angreifer kann bösartigen JavaScript-Code in verschiedene Konfigurationsfelder einschleusen, was zu einem gespeicherten XSS-Angriff führt.

So beheben Sie CVE-2026-34561 in Ci4ms

Innerhalb von 7 Tagen patchen

1.Aktualisieren Sie Ihre CI4MS-Installation auf Version 0.31.0.0 oder höher.

CI4MS aktualisieren

composer update ci4ms

Workaround: Es gibt keine Problemumgehung. Aktualisieren Sie auf die gepatchte Version.

NextGuard kennzeichnet CVE-2026-34561 automatisch, wenn Ci4ms in einem Ihrer überwachten Projekte vorkommt – keine manuelle Suche erforderlich.

CVE-2026-34569: Gespeicherte XSS in Blog-Kategorien

CVSS10.0

Betroffene VersionenDiese Schwachstelle betrifft CI4MS-Versionen vor 0.31.0.0. Jede Anwendung, die die Funktion Blog-Kategorien verwendet, ist anfällig.

Kritische Schwachstelle, die die nicht authentifizierte Ausführung von Remote-Code ermöglicht.

Der EPSS-Score von 0,047 deutet auf eine geringe Wahrscheinlichkeit einer Ausnutzung hin.

Die CI4MS-Anwendung versäumt es, benutzergesteuerte Eingaben beim Erstellen oder Bearbeiten von Blog-Kategorien ordnungsgemäß zu bereinigen. Ein Angreifer kann bösartigen JavaScript-Code in das Feld für den Kategorietitel einschleusen, was zu einem gespeicherten XSS-Angriff auf öffentlich zugänglichen Blog-Kategorieseiten und administrativen Schnittstellen führt.

So beheben Sie CVE-2026-34569 in Ci4ms

Sofort patchen

1.Aktualisieren Sie Ihre CI4MS-Installation auf Version 0.31.0.0 oder höher.

CI4MS aktualisieren

composer update ci4ms

Workaround: Es gibt keine Problemumgehung. Aktualisieren Sie auf die gepatchte Version.

NextGuard kennzeichnet CVE-2026-34569 automatisch, wenn Ci4ms in einem Ihrer überwachten Projekte vorkommt – keine manuelle Suche erforderlich.

Bleiben Sie Codeigniter-Schwachstellen einen Schritt voraus

Erkennen und reagieren Sie proaktiv auf Sicherheitsbedrohungen in Ihren CodeIgniter-Anwendungen. Überwachen Sie Ihre CodeIgniter-Abhängigkeiten auf frühzeitige Warnungen.

Pläne vergleichen

Häufig gestellte Fragen

In CI4MS wurden mehrere gespeicherte XSS-Schwachstellen entdeckt. Stellen Sie sicher, dass Sie auf Version 0.31.0.0 oder höher aktualisieren, um diese Risiken zu mindern und alle CodeIgniter-Schwachstellen anzuzeigen.

Verwandte Themen

XSSCodeIgniterCI4MSSicherheitslückeCMS