Plattform
php
Komponente
ci4ms
Behoben in
0.31.5
CVE-2026-39393 is a high-severity vulnerability affecting CI4MS, a CodeIgniter 4-based CMS skeleton. This flaw allows an unauthenticated attacker to overwrite the critical .env file, potentially gaining full control over the database. The vulnerability impacts versions 0.0.0 through 0.31.3. A fix is available in version 0.31.4.
Die CVE-2026-39393-Schwachstelle in CI4MS ermöglicht es einem Angreifer, den Setup-Assistenten nach der Installation zu erreichen, auch wenn die Installation bereits abgeschlossen ist. Dies liegt an einem Fehler im Installationsrouten-Guard. Das System verlässt sich ausschließlich auf eine volatile Cache-Prüfung (cache('settings')) und die Existenz der .env-Datei, um den Zugriff zu blockieren. Wenn die Datenbank während eines Cache-Fehlers (TTL-Ablauf oder Admin-ausgelöschter Cache) vorübergehend nicht verfügbar ist, öffnet sich der Guard und ermöglicht unauthentifizierten Zugriff auf den Setup-Assistenten. Dies könnte einem Angreifer ermöglichen, die Systemkonfiguration zu ändern, Administrator-Konten zu erstellen oder die Sicherheit der Website zu gefährden.
Ein Angreifer könnte diese Schwachstelle ausnutzen, wenn die Datenbank während einer Anfrage an den Installationsrouten-Guard vorübergehend nicht verfügbar ist. Dies könnte aufgrund von Netzwerkproblemen, Datenbanküberlastung oder geplanter Wartung geschehen. Wenn der Cache nicht verfügbar ist oder abgelaufen ist, schlägt der Guard die Prüfung fehl und ermöglicht den Zugriff auf den Setup-Assistenten. Der Angreifer könnte dann den Setup-Assistenten verwenden, um die Systemkonfiguration zu ändern oder Administrator-Konten zu erstellen, wodurch die Sicherheit der Website gefährdet wird. Die Wahrscheinlichkeit einer Ausnutzung hängt von der Stabilität der Datenbankverbindung und der Cache-Konfiguration ab.
CI4MS installations that have not been upgraded past version 0.31.3 are at risk. This includes deployments that rely on shared hosting environments, as well as those with legacy configurations or limited resources for timely patching. Installations that experience frequent database connectivity issues are particularly vulnerable.
• php: Examine CI4MS application logs for attempts to access the setup wizard during periods of database unavailability. Look for errors related to cache misses or database connection failures. • generic web: Monitor web server access logs for requests targeting the CI4MS setup route (typically /install) originating from unusual IP addresses. • generic web: Check the .env file for unexpected or malicious database credentials using a file integrity monitoring tool.
disclosure
Exploit-Status
EPSS
0.02% (5% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, CI4MS auf Version 0.31.4 oder höher zu aktualisieren. Diese Version behebt das Problem, indem eine robustere Prüfung implementiert wird, um festzustellen, ob der Setup-Assistent zugänglich sein soll. Das Update stellt sicher, dass der Zugriff auf den Setup-Assistenten auf autorisierte Benutzer beschränkt ist, auch in Situationen, in denen die Datenbank vorübergehend nicht verfügbar ist. Es wird dringend empfohlen, dieses Update so bald wie möglich anzuwenden, um Ihre Website vor potenziellen Angriffen zu schützen. Stellen Sie außerdem sicher, dass Ihr Cache korrekt konfiguriert ist und die TTLs angemessen sind, um Cache-Probleme zu vermeiden, die die Schwachstelle verschärfen könnten.
Actualice a la versión 0.31.4 o superior para corregir la vulnerabilidad. Esta versión implementa una validación más robusta para prevenir el acceso no autorizado al instalador después de la instalación.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
CI4MS ist ein CodeIgniter 4-basiertes CMS-Skelett, das eine produktionsreife, modulare Architektur mit RBAC-Autorisierung und Themenunterstützung bietet.
Version 0.31.4 behebt die CVE-2026-39393-Schwachstelle, die unautorisierten Zugriff auf den Setup-Assistenten ermöglicht.
Wenn Sie nicht sofort aktualisieren können, sollten Sie zusätzliche Sicherheitsmaßnahmen ergreifen, z. B. den Netzwerkzugriff auf den Setup-Assistenten einschränken.
Wenn Sie eine Version vor 0.31.4 verwenden, sind Sie wahrscheinlich anfällig. Weitere Informationen finden Sie in der CI4MS-Dokumentation.
Konsultieren Sie die offizielle CI4MS-Dokumentation und Sicherheitsbulletins für Informationen über andere bekannte Schwachstellen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.