Plateforme
php
Composant
ci4-cms-erp/ci4ms
Corrigé dans
0.31.5
0.31.4.0
Cette vulnérabilité de type XSS affecte le module Pages de ci4-cms-erp/ci4ms, où le contenu des pages n'est pas correctement validé avant d'être stocké et affiché. Un attaquant authentifié peut exploiter cette faille pour injecter du code JavaScript malveillant, exécuté dans le navigateur des visiteurs. Les versions concernées sont celles inférieures ou égales à 0.31.3.0. Une version corrigée, 0.31.4.0, est disponible.
La vulnérabilité CVE-2026-39392 dans ci4ms permet à un administrateur authentifié disposant de privilèges d'édition de page d'injecter du code JavaScript arbitraire dans des pages web. Cela est dû au fait que le module Pages n'applique pas la règle de validation html_purify aux champs de contenu lors des opérations de création et de mise à jour, contrairement au module Blog. Le contenu de la page est stocké non assaini dans la base de données et rendu en tant que HTML brut sur le frontend public via echo $pageInfo->content. Un attaquant peut exploiter cette faille pour exécuter du code malveillant dans le navigateur de tout visiteur accédant à la page compromise, ce qui pourrait entraîner un vol d'informations sensibles, des redirections malveillantes ou une manipulation de l'apparence du site web.
Un attaquant disposant d'un accès administrateur à l'édition de pages peut créer ou modifier une page et ajouter du code JavaScript malveillant dans le champ de contenu. Étant donné que le contenu n'est pas assaini, ce code sera stocké dans la base de données et affiché directement sur le frontend. Lorsqu'un utilisateur visite la page, le code JavaScript s'exécute dans son navigateur, permettant à l'attaquant d'effectuer des actions malveillantes. L'absence de validation appropriée rend cette vulnérabilité relativement facile à exploiter.
Organizations using ci4-cms-erp/ci4ms for their ERP and CMS needs, particularly those with public-facing pages managed through the Pages module, are at risk. Shared hosting environments where multiple users have administrative access to the CMS are also particularly vulnerable, as a compromised administrator account could impact all hosted sites.
• wordpress / composer / npm:
grep -r 'echo $pageInfo->content' /path/to/ci4ms/modules/Pages/Controllers/• generic web:
curl -I <affected_page_url> | grep -i content-type• generic web:
Inspect page source code for unsanitized HTML content within the $pageInfo->content variable.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
L'atténuation principale pour CVE-2026-39392 est de mettre à jour ci4ms vers la version 0.31.4.0 ou supérieure. Cette version corrige la vulnérabilité en appliquant la validation html_purify au contenu des pages. En attendant, comme mesure temporaire, il est recommandé de désactiver l'édition de pages pour les utilisateurs non fiables ou de mettre en œuvre un pare-feu d'application web (WAF) capable de détecter et de bloquer les tentatives d'injection de JavaScript. Il est crucial de revoir et d'auditer toutes les autorisations d'utilisateur afin de garantir que seuls les administrateurs de confiance ont accès à l'édition de pages.
Actualice el módulo Pages a la versión 0.31.4 o superior para mitigar la vulnerabilidad de XSS. Esta versión implementa la validación html_purify en los campos de contenido, previniendo la inyección de código malicioso.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une bibliothèque PHP utilisée pour nettoyer et valider le code HTML, en supprimant les balises et les attributs potentiellement dangereux.
Cette version inclut la correction de la vulnérabilité, en appliquant la validation html_purify au contenu des pages, empêchant ainsi l'injection de JavaScript.
Désactiver l'édition de pages pour les utilisateurs non fiables et envisager la mise en œuvre d'un WAF sont des mesures temporaires.
Si vous utilisez une version antérieure à 0.31.4.0 de ci4ms et que vous autorisez l'édition de pages pour les utilisateurs non fiables, il est probable que vous soyez vulnérable.
Il est important de consulter la documentation de ci4ms et les alertes de sécurité pour vous tenir informé de toute autre vulnérabilité potentielle.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.