Plattform
php
Komponente
ci4-cms-erp/ci4ms
Behoben in
0.31.5
0.31.4.0
CVE-2026-39392 describes a cross-site scripting (XSS) vulnerability in the ci4-cms-erp/ci4ms CMS ERP system. This flaw allows an authenticated administrator with page-editing privileges to inject malicious JavaScript code that executes in the browsers of all public visitors to the affected pages. The vulnerability impacts versions of ci4-cms-erp/ci4ms up to and including 0.31.3.0, and a fix is available in version 0.31.4.0.
Die CVE-2026-39392 in ci4ms ermöglicht einem authentifizierten Administrator mit Seitenbearbeitungsrechten, willkürlichen JavaScript-Code in Webseiten einzuschleusen. Dies liegt daran, dass das Pages-Modul die Validierungsregel html_purify nicht auf die Inhaltsfelder während der Erstellungs- und Aktualisierungsoperationen anwendet, anders als das Blog-Modul. Der Seiteninhalt wird unbereinigt in der Datenbank gespeichert und als rohes HTML im öffentlichen Frontend über echo $pageInfo->content gerendert. Ein Angreifer kann diese Schwachstelle ausnutzen, um bösartigen Code im Browser jedes Besuchers auszuführen, der die kompromittierte Seite aufruft, was zu einem Diebstahl sensibler Informationen, bösartigen Weiterleitungen oder einer Manipulation des Erscheinungsbildes der Website führen kann.
Ein Angreifer mit Administratorzugriff auf die Seitenbearbeitung kann eine Seite erstellen oder ändern und bösartigen JavaScript-Code im Inhaltsfeld hinzufügen. Da der Inhalt nicht bereinigt wird, wird dieser Code in der Datenbank gespeichert und direkt im Frontend angezeigt. Wenn ein Benutzer die Seite besucht, wird der JavaScript-Code in seinem Browser ausgeführt, wodurch der Angreifer bösartige Aktionen ausführen kann. Das Fehlen einer ordnungsgemäßen Validierung macht diese Schwachstelle relativ einfach auszunutzen.
Organizations using ci4-cms-erp/ci4ms for their ERP and CMS needs, particularly those with public-facing pages managed through the Pages module, are at risk. Shared hosting environments where multiple users have administrative access to the CMS are also particularly vulnerable, as a compromised administrator account could impact all hosted sites.
• wordpress / composer / npm:
grep -r 'echo $pageInfo->content' /path/to/ci4ms/modules/Pages/Controllers/• generic web:
curl -I <affected_page_url> | grep -i content-type• generic web:
Inspect page source code for unsanitized HTML content within the $pageInfo->content variable.
disclosure
Exploit-Status
EPSS
0.01% (1% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abmilderung für CVE-2026-39392 ist die Aktualisierung von ci4ms auf Version 0.31.4.0 oder höher. Diese Version behebt die Schwachstelle, indem sie die Validierung html_purify auf den Seiteninhalt anwendet. In der Zwischenzeit wird als vorübergehende Maßnahme empfohlen, die Seitenbearbeitung für nicht vertrauenswürdige Benutzer zu deaktivieren oder eine Web Application Firewall (WAF) zu implementieren, die Versuche zur JavaScript-Einschleusung erkennen und blockieren kann. Es ist entscheidend, alle Benutzerberechtigungen zu überprüfen und zu prüfen, um sicherzustellen, dass nur vertrauenswürdige Administratoren Zugriff auf die Seitenbearbeitung haben.
Actualice el módulo Pages a la versión 0.31.4 o superior para mitigar la vulnerabilidad de XSS. Esta versión implementa la validación html_purify en los campos de contenido, previniendo la inyección de código malicioso.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist eine PHP-Bibliothek, die zum Bereinigen und Validieren von HTML-Code verwendet wird, indem potenziell gefährliche Tags und Attribute entfernt werden.
Diese Version enthält die Behebung der Schwachstelle, indem die Validierung html_purify auf den Seiteninhalt angewendet wird, wodurch die JavaScript-Einschleusung verhindert wird.
Die Deaktivierung der Seitenbearbeitung für nicht vertrauenswürdige Benutzer und die Berücksichtigung der Implementierung einer WAF sind vorübergehende Maßnahmen.
Wenn Sie eine Version vor 0.31.4.0 von ci4ms verwenden und die Seitenbearbeitung für nicht vertrauenswürdige Benutzer zulassen, sind Sie wahrscheinlich anfällig.
Es ist wichtig, die Dokumentation von ci4ms und Sicherheitswarnungen zu überprüfen, um über potenzielle Schwachstellen informiert zu bleiben.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.