Se han descubierto múltiples vulnerabilidades, incluyendo cross-site scripting (XSS) almacenado e invalidación de sesión incorrecta, en CI4MS. Estas vulnerabilidades podrían permitir la toma de control de cuentas, la escalada de privilegios y el acceso no autorizado. Se recomienda encarecidamente a los usuarios de las versiones afectadas que actualicen a la versión 0.31.0.0 lo antes posible.
Estas vulnerabilidades varían de medias a críticas, lo que podría llevar a la completa puesta en peligro de la aplicación.
¿Qué es Ci4 Cms Erp/ci4ms?
CVE-2026-34558: XSS DOM almacenado en la gestión de métodos
Vulnerabilidad crítica que permite la ejecución remota de código.
La puntuación EPSS de 0.046 indica una baja probabilidad de explotación.
La aplicación no sanitiza la entrada del usuario en la funcionalidad de Gestión de Métodos, lo que lleva a XSS DOM almacenado. Un atacante puede inyectar cargas útiles de JavaScript maliciosas en las entradas de creación y gestión de métodos, que luego se ejecutan globalmente en la navegación de la aplicación.
Cómo solucionar CVE-2026-34558 en Ci4 Cms Erp/ci4ms
Parchear ahora- 1.Actualice el componente ci4-cms-erp/ci4ms a la versión 0.31.0.0 o posterior.
composer update ci4-cms-erp/ci4msSolución temporal: Implemente una codificación de salida estricta (codificación de entidades HTML) antes de renderizar la entrada del usuario.
NextGuard marca automáticamente CVE-2026-34558 si Ci4 Cms Erp/ci4ms aparece en cualquiera de sus proyectos supervisados; no se requiere búsqueda manual.
CVE-2026-34557: XSS DOM almacenado en la gestión de permisos
Vulnerabilidad crítica que permite la ejecución remota de código.
La puntuación EPSS de 0.046 indica una baja probabilidad de explotación.
La aplicación no sanitiza la entrada del usuario dentro de la gestión de grupos y roles, lo que lleva a XSS almacenado. Un atacante puede inyectar cargas útiles de JavaScript maliciosas en los campos de entrada relacionados con el grupo, que luego se ejecutan cuando un administrador ve la interfaz de gestión de roles.
Cómo solucionar CVE-2026-34557 en Ci4 Cms Erp/ci4ms
Parchear ahora- 1.Actualice el componente ci4-cms-erp/ci4ms a la versión 0.31.0.0 o posterior.
composer update ci4-cms-erp/ci4msSolución temporal: Implemente la codificación HTML y la sanitización de las entradas del usuario.
NextGuard marca automáticamente CVE-2026-34557 si Ci4 Cms Erp/ci4ms aparece en cualquiera de sus proyectos supervisados; no se requiere búsqueda manual.
CVE-2026-34562: XSS DOM almacenado en la configuración del sistema (información de la empresa)
Vulnerabilidad media con potencial de impacto limitado.
La puntuación EPSS de 0.038 indica una baja probabilidad de explotación.
La aplicación no sanitiza la entrada del usuario en Configuración del sistema - Información de la empresa, lo que lleva a XSS DOM almacenado. Un atacante puede inyectar cargas útiles de JavaScript maliciosas en los campos de información de la empresa, que luego se ejecutan inmediatamente en la misma página de configuración.
Cómo solucionar CVE-2026-34562 en Ci4 Cms Erp/ci4ms
Parchear en 7 días- 1.Actualice el componente ci4-cms-erp/ci4ms a la versión 0.31.0.0 o posterior.
composer update ci4-cms-erp/ci4msSolución temporal: Implemente la codificación de salida y la sanitización de entrada.
NextGuard marca automáticamente CVE-2026-34562 si Ci4 Cms Erp/ci4ms aparece en cualquiera de sus proyectos supervisados; no se requiere búsqueda manual.
CVE-2026-34566: XSS DOM almacenado en la gestión de páginas
Vulnerabilidad crítica que permite la ejecución remota de código.
La puntuación EPSS de 0.046 indica una baja probabilidad de explotación.
La aplicación no sanitiza la entrada del usuario en la funcionalidad de Gestión de páginas, lo que lleva a XSS DOM almacenado. Un atacante puede inyectar cargas útiles de JavaScript maliciosas en los campos de entrada relacionados con la página, que luego se ejecutan en las listas de páginas administrativas y en las vistas de páginas públicas.
Cómo solucionar CVE-2026-34566 en Ci4 Cms Erp/ci4ms
Parchear ahora- 1.Actualice el componente ci4-cms-erp/ci4ms a la versión 0.31.0.0 o posterior.
composer update ci4-cms-erp/ci4msSolución temporal: Implemente la codificación de salida y la sanitización de entrada.
NextGuard marca automáticamente CVE-2026-34566 si Ci4 Cms Erp/ci4ms aparece en cualquiera de sus proyectos supervisados; no se requiere búsqueda manual.
CVE-2026-34570: Invalidación de sesión incorrecta al eliminar la cuenta
Alta vulnerabilidad que conduce a un acceso no autorizado.
La puntuación EPSS de 0.083 indica una baja probabilidad de explotación.
La aplicación no revoca inmediatamente las sesiones de usuario activas cuando se elimina una cuenta, lo que lleva a un acceso no autorizado persistente. Un usuario eliminado permanece completamente conectado y puede continuar realizando todas las acciones permitidas por su rol indefinidamente.
Cómo solucionar CVE-2026-34570 en Ci4 Cms Erp/ci4ms
Parchear ahora- 1.Actualice el componente ci4-cms-erp/ci4ms a la versión 0.31.0.0 o posterior.
composer update ci4-cms-erp/ci4msSolución temporal: No existe una solución alternativa práctica; el parche es esencial.
NextGuard marca automáticamente CVE-2026-34570 si Ci4 Cms Erp/ci4ms aparece en cualquiera de sus proyectos supervisados; no se requiere búsqueda manual.
Manténgase a la vanguardia de las vulnerabilidades de php
Detecte y corrija de forma proactiva las vulnerabilidades de php en sus proyectos. Supervise sus dependencias de php para evitar posibles exploits.
Comparar planesPreguntas frecuentes
Múltiples vulnerabilidades en CI4MS requieren atención inmediata. Actualice a la versión 0.31.0.0 para mitigar los riesgos y garantizar la seguridad de su aplicación. Ver todas las vulnerabilidades de php.
Temas relacionados