Plateforme
php
Composant
ci4-cms-erp/ci4ms
Corrigé dans
0.31.5
0.31.4.0
Cette vulnérabilité de type XSS affecte le composant ci4-cms-erp/ci4ms, en particulier les versions inférieures ou égales à 0.31.3.0. Elle permet à un attaquant disposant d'un accès aux paramètres d'administrateur d'injecter du code JavaScript malveillant via un iframe, qui s'exécute dans le contexte de la page parente pour les visiteurs non authentifiés. La vulnérabilité réside dans la manière dont le paramètre cMap de Google Maps est traité, où l'attribut srcdoc n'est pas correctement filtré. Une version corrigée, 0.31.4.0, est disponible.
La vulnérabilité CVE-2026-39390 dans ci4ms permet à un attaquant disposant de privilèges d'administrateur d'injecter du code malveillant via la configuration de l'iframe Google Maps. Plus précisément, le champ cMap ne valide pas correctement l'attribut srcdoc, permettant l'injection de JavaScript encodé en entités HTML. Ce script s'exécute dans le contexte de la page parente lorsqu'il est rendu aux visiteurs du frontend non authentifiés. Le risque réside dans la possibilité de vol d'informations sensibles, de manipulation de l'interface utilisateur ou de redirection vers des sites web malveillants, compromettant la sécurité et l'intégrité de l'application.
Un attaquant disposant d'un accès administratif peut exploiter cette vulnérabilité en injectant un iframe avec un srcdoc contenant du JavaScript encodé en entités HTML. Ce JavaScript s'exécutera dans le navigateur de l'utilisateur final, permettant à l'attaquant d'effectuer des actions telles que le vol de cookies, la modification du contenu de la page ou la redirection de l'utilisateur vers un site web malveillant. L'absence d'authentification sur le frontend rend tout visiteur potentiellement victime de cette exploitation.
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
Pour atténuer cette vulnérabilité, il est recommandé de mettre à jour ci4ms vers la version 0.31.4.0 ou supérieure. Cette version inclut une correction qui valide correctement l'attribut srcdoc dans la configuration de l'iframe Google Maps. De plus, examinez et auditez toutes les configurations liées à l'intégration de Google Maps pour vous assurer qu'aucun vecteur d'attaque supplémentaire n'est introduit. La mise en œuvre d'une politique du moindre privilège pour les administrateurs peut également aider à limiter l'impact en cas de compromission d'un compte.
Actualice CI4MS a la versión 0.31.4 o superior para mitigar la vulnerabilidad de XSS. Esta versión corrige el problema al sanitizar correctamente el atributo srcdoc en la configuración de Google Maps, evitando la ejecución de código malicioso.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une façon de représenter des caractères spéciaux dans HTML en utilisant des codes numériques ou des symboles, ce qui permet d'éviter certaines validations de sécurité.
Cela signifie accorder aux utilisateurs uniquement les permissions nécessaires pour effectuer leurs tâches, limitant les dommages potentiels en cas d'attaque.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de désactiver temporairement la fonctionnalité Google Maps ou de mettre en œuvre une validation plus stricte de l'attribut srcdoc dans le code source.
Vérifiez la version de ci4ms que vous utilisez. Si elle est antérieure à 0.31.4.0, elle est vulnérable. Vous pouvez également effectuer des tests d'intrusion pour identifier d'éventuelles vulnérabilités.
Il existe des scanners de vulnérabilités qui peuvent détecter cette vulnérabilité et d'autres vulnérabilités similaires. Consultez votre équipe de sécurité pour identifier les outils appropriés.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.