Plateforme
php
Composant
ci4-cms-erp/ci4ms
Corrigé dans
0.31.1
0.31.0.0
CVE-2026-34571 est une vulnérabilité de type Cross-Site Scripting (XSS) Stored. Elle permet à un attaquant d'injecter du code JavaScript malveillant qui sera exécuté à chaque fois qu'un utilisateur accède à la page affectée. Cette vulnérabilité affecte CI4MS, un CMS basé sur CodeIgniter 4, dans les versions antérieures à 0.31.0.0. La version 0.31.0.0 corrige cette faille de sécurité.
La vulnérabilité CVE-2026-34571 dans ci4ms représente un risque critique en raison de la présence d'une faille Cross-Site Scripting (XSS) stockée dans la fonctionnalité de gestion des utilisateurs du backend. L'application ne valide pas correctement les entrées contrôlées par l'utilisateur avant de les afficher dans l'interface d'administration, permettant aux attaquants d'injecter du code JavaScript persistant. Ce code s'exécute automatiquement chaque fois que les utilisateurs du backend accèdent à la page affectée, ce qui peut entraîner un vol de session, une élévation de privilèges et un compromis complet des comptes d'administration. Le score CVSS de 9.9 souligne la gravité de ce problème, nécessitant une attention immédiate.
Un attaquant peut exploiter cette vulnérabilité en injectant du code JavaScript malveillant dans les champs d'entrée utilisateur de l'interface d'administration de ci4ms. Ce code peut être conçu pour voler des cookies de session, rediriger les utilisateurs vers des sites Web malveillants ou exécuter des actions au nom d'un administrateur. La persistance du code XSS signifie que la vulnérabilité restera active jusqu'à ce que la mise à jour soit appliquée, affectant tous les utilisateurs du backend qui accèdent à la page compromise. L'absence d'une validation appropriée des entrées utilisateur est la cause principale de cette vulnérabilité.
Organizations using ci4-cms-erp/ci4ms in their backend systems, particularly those with administrative access to the user management functionality, are at risk. Shared hosting environments where multiple users share the same instance of ci4-cms-erp/ci4ms are especially vulnerable, as a compromise of one user could lead to the compromise of others.
• php: Examine backend user management logs for suspicious JavaScript injection attempts. Search for unusual characters or patterns in user input fields.
• generic web: Use curl to test the user creation endpoint with various payloads containing <script> tags. Monitor response headers for signs of XSS.
curl -X POST -d 'username=<script>alert("XSS")</script>' https://your-ci4ms-instance/backend/us• generic web: Review access and error logs for requests containing XSS payloads. Look for patterns indicative of attempted injection. • generic web: Use browser developer tools to monitor for JavaScript execution originating from unexpected sources.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 17%)
CISA SSVC
Vecteur CVSS
La mitigation recommandée pour CVE-2026-34571 est de mettre à jour ci4ms à la version 0.31.0.0 ou supérieure. Cette version inclut les correctifs nécessaires pour valider correctement les entrées utilisateur et empêcher l'injection de code malveillant. En attendant, restreignez l'accès à l'interface d'administration aux utilisateurs autorisés uniquement et surveillez activement les journaux système à la recherche d'activités suspectes. La mise en œuvre d'une politique de sécurité des mots de passe robuste et l'activation de l'authentification à deux facteurs (2FA) peuvent fournir une couche de protection supplémentaire contre les accès non autorisés. Des audits de sécurité réguliers peuvent aider à identifier et à corriger des vulnérabilités similaires à l'avenir.
Actualice CI4MS a la versión 0.31.0.0 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en la gestión de usuarios del backend.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des pages Web consultées par d'autres utilisateurs.
La vulnérabilité est critique car elle permet aux attaquants de compromettre les comptes d'administration, ce qui peut leur donner un accès complet au système.
Restreignez l'accès à l'interface d'administration et surveillez les journaux système à la recherche d'activités suspectes.
Plusieurs outils d'analyse de sécurité Web peuvent aider à identifier les vulnérabilités XSS.
Utilisez des mots de passe forts et uniques et activez l'authentification à deux facteurs (2FA) chaque fois que cela est possible.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.