Plattform
php
Komponente
ci4-cms-erp/ci4ms
Behoben in
0.31.5
0.31.4.0
CVE-2026-39391 represents a Cross-Site Scripting (XSS) vulnerability found in the ci4-cms-erp/ci4ms component, specifically affecting versions up to 0.31.3.0. This flaw allows an authenticated administrator with blacklist privileges to inject malicious JavaScript code. This code executes within the browser context of any other administrator accessing the user management page, potentially leading to session hijacking or data theft. A patch is available in version 0.31.4.0.
CVE-2026-39391 in ci4ms ermöglicht einem Administrator mit Blacklist-Rechten, willkürlichen JavaScript-Code in die Benutzerverwaltungsebene einzuschleusen. Dieser Code wird im Browser jedes anderen Administrators ausgeführt, der diese Seite aufruft. Die Ursache liegt in der fehlenden Bereinigung und Maskierung des 'note'-Parameters in der Funktion UserController::ajaxblackListpost(). Ein Angreifer kann dies ausnutzen, um Sitzungscookies zu stehlen, auf bösartige Websites umzuleiten oder andere Aktionen im Namen des betroffenen Administrators durchzuführen, wodurch die Sicherheit der Anwendung und potenziell sensible Benutzerinformationen gefährdet werden.
Ein Angreifer mit Administratorrechten und Zugriff auf die Blacklist-Funktion kann bösartigen JavaScript-Code in das Feld 'note' einschleusen, wenn er einen Benutzer sperrt. Dieser Code wird in der Datenbank gespeichert und auf der Benutzerverwaltungsebene angezeigt. Wenn ein anderer Administrator diese Seite besucht, wird der JavaScript-Code in seinem Browser ausgeführt, wodurch der Angreifer seine Sitzung kompromittieren und unautorisierte Aktionen durchführen kann.
Exploit-Status
EPSS
0.01% (1% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, auf Version 0.31.4.0 von ci4ms zu aktualisieren. Diese Version enthält eine Korrektur, die den 'note'-Parameter vor der Speicherung in der Datenbank und der Darstellung in HTML ordnungsgemäß bereinigt und maskiert. In der Zwischenzeit sollten Sie als vorübergehende Maßnahme den Zugriff auf die Benutzerverwaltungsebene auf vertrauenswürdige Administratoren beschränken und auf ungewöhnliche Aktivitäten in der Anwendung achten. Darüber hinaus sollten Sie die Passwortrichtlinien überprüfen und stärken sowie die Zwei-Faktor-Authentifizierung aktivieren, um die Auswirkungen einer möglichen Ausnutzung zu minimieren.
Actualice a la versión 0.31.4 o superior para mitigar la vulnerabilidad. Esta versión corrige el problema al escapar correctamente los datos antes de renderizarlos en la página de administración de usuarios, previniendo la ejecución de código JavaScript malicioso.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
In this context, 'blacklist' refers to the ability of an administrator to block or restrict a user's access to the application.
An attacker could inject code to steal session cookies, redirect to malicious sites, display fake pop-ups, or perform other malicious actions.
Change your password immediately, review your recent activity, and contact the system administrator to investigate the situation.
Monitor for unusual activity within the application, such as unexpected logins or changes to system configuration.
Yes, updating to version 0.31.4.0 is the recommended solution to fix this vulnerability.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.