Plateforme
php
Composant
ci4-cms-erp/ci4ms
Corrigé dans
0.31.1
0.31.0.0
CVE-2026-34569 est une vulnérabilité de type Cross-Site Scripting (XSS) Stored. Elle permet à un attaquant d'injecter du code JavaScript malveillant qui est ensuite stocké sur le serveur et exécuté lorsqu'un utilisateur accède à la page affectée. Cette vulnérabilité affecte ci4ms dans les versions inférieures à 0.31.0.0. La version 0.31.0.0 corrige cette faille de sécurité.
La vulnérabilité CVE-2026-34569 dans ci4ms introduit une vulnérabilité Cross-Site Scripting (XSS) persistante. Un attaquant peut injecter du code JavaScript malveillant dans le titre d'une catégorie de blog lors de sa création ou de sa modification. Ce code est stocké dans la base de données et exécuté dans le navigateur de tout utilisateur visitant la page de la catégorie. Le score CVSS de 9.9 indique une sévérité critique, ce qui signifie qu'une exploitation réussie pourrait entraîner l'exécution de code arbitraire dans le contexte de l'utilisateur, permettant à l'attaquant de voler des cookies, de rediriger les utilisateurs vers des sites malveillants ou d'effectuer des actions en son nom. La cause première est le manque de validation et de sanitisation appropriées des entrées utilisateur dans le champ du titre de la catégorie. Cette vulnérabilité affecte les versions antérieures à 0.31.0.0 de ci4ms.
Un attaquant pourrait exploiter cette vulnérabilité en créant une catégorie de blog avec un titre contenant du code JavaScript malveillant. Ce code sera stocké dans la base de données et affiché à tous les utilisateurs visitant la page de cette catégorie. L'attaquant pourrait utiliser ce code pour voler des informations sensibles, telles que des cookies de session, ou rediriger les utilisateurs vers des sites web malveillants. La nature persistante de l'attaque signifie que le code malveillant reste sur le système jusqu'à ce que la catégorie soit supprimée ou que l'application soit mise à jour. Le score CVSS élevé indique que l'exploitation est relativement simple et que l'impact potentiel est important.
Organizations utilizing ci4-cms-erp/ci4ms in their content management systems, particularly those with publicly accessible blog features, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromised blog on one site could potentially impact other sites on the same server. Legacy configurations with outdated security practices are also vulnerable.
• php: Examine blog category titles in the database for suspicious JavaScript code. Use grep to search for <script> tags or other common XSS payloads within the category title fields.
grep '<script>' /path/to/database/blog_categories.sql• generic web: Monitor web server access logs for requests to blog category pages containing unusual URL parameters or POST data that might indicate an attempted XSS attack.
curl -s 'https://example.com/blog/category/malicious-title' > /dev/null 2>&1• generic web: Check response headers for signs of JavaScript execution or redirection to unexpected domains.
curl -I https://example.com/blog/category/malicious-titledisclosure
patch
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La solution à CVE-2026-34569 est de mettre à niveau vers la version 0.31.0.0 ou ultérieure de ci4ms. Cette version inclut des correctifs pour sanitiser correctement les entrées utilisateur dans le titre de la catégorie de blog, empêchant l'injection de code JavaScript malveillant. De plus, une analyse de sécurité complète du code source est recommandée pour identifier et corriger d'autres vulnérabilités XSS potentielles. La mise en œuvre d'une Politique de sécurité du contenu (CSP) peut aider à atténuer l'impact d'une attaque XSS, même si l'application est vulnérable. Enfin, il est essentiel de sensibiliser les développeurs aux meilleures pratiques de codage sécurisé afin de prévenir de futures vulnérabilités XSS.
Actualice CI4MS a la versión 0.31.0.0 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS) almacenado en las categorías de blogs. La actualización evitará la ejecución de código JavaScript malicioso inyectado en el título de las categorías.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs.
La vulnérabilité a un score CVSS de 9.9, ce qui indique une sévérité critique. Cela signifie qu'un attaquant pourrait potentiellement prendre le contrôle du compte d'un utilisateur ou voler des informations sensibles.
Si vous utilisez une version de ci4ms antérieure à 0.31.0.0, votre application est vulnérable. Effectuez une analyse de sécurité pour confirmer.
Modifiez immédiatement les mots de passe de tous les utilisateurs et effectuez une analyse de sécurité complète pour identifier et corriger tout dommage.
La mise en œuvre d'une Politique de sécurité du contenu (CSP) peut aider à atténuer l'impact d'une attaque XSS, bien qu'elle ne soit pas une solution complète.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.