Plateforme
php
Composant
ci4-cms-erp/ci4ms
Corrigé dans
0.31.5
0.31.4.0
CVE-2026-39394 is a remote code execution (RCE) vulnerability affecting the ci4-cms-erp/ci4ms CMS ERP system. This vulnerability allows attackers to inject arbitrary configuration directives into the .env file, potentially granting them control over the application. The vulnerability impacts versions of ci4-cms-erp/ci4ms up to and including 0.31.3.0, and a fix is available in version 0.31.4.0.
La vulnérabilité CVE-2026-39394 dans ci4ms permet à un attaquant d'injecter des configurations arbitraires dans le fichier .env pendant le processus d'installation. Le contrôleur Install::index() reçoit le paramètre POST host sans validation et le transmet directement à updateEnvSettings(). Cette fonction utilise preg_replace() pour écrire la valeur dans le fichier .env. L'absence de sanitisation des caractères de nouvelle ligne permet à un attaquant d'insérer des commandes ou des configurations malveillantes qui seront exécutées ultérieurement. L'absence de protection CSRF sur les routes d'installation, combinée à la possibilité de contourner le InstallFilter lorsque cache('settings') est vide, facilite l'exploitation de cette vulnérabilité. Cela pourrait donner à l'attaquant le contrôle de la configuration de l'application, compromettant la sécurité et la confidentialité des données.
Un attaquant peut exploiter cette vulnérabilité en envoyant une requête POST à la route d'installation avec un paramètre host contenant des caractères de nouvelle ligne et des commandes malveillantes. En raison de l'absence de protection CSRF sur les routes d'installation, un attaquant peut effectuer cette requête sans authentification. Si le cache de configuration est vide, le InstallFilter peut être contourné, facilitant ainsi davantage l'exploitation. La vulnérabilité est particulièrement grave car le fichier .env contient des informations sensibles, telles que des clés API et des informations d'identification de base de données, qui pourraient être compromises.
Organizations using ci4-cms-erp/ci4ms in production environments, particularly those with exposed installation routes or those running older, unpatched versions (≤0.31.3.0), are at significant risk. Shared hosting environments where multiple users share the same server and .env file are especially vulnerable.
• php: Examine web server access logs for POST requests to the /install/index endpoint with unusual or excessively long host parameters.
• php: Monitor the .env file for unexpected modifications, particularly lines containing configuration directives that were not previously present.
• generic web: Use curl to test the /install/index endpoint with a host parameter containing newline characters and observe the resulting .env file changes.
curl -X POST -d "host=test\nnew_setting=value" http://your-ci4ms-site.com/install/indexdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour vers la version 0.31.4.0 de ci4ms. Cette version corrige la vulnérabilité en validant et en nettoyant le paramètre host avant de l'écrire dans le fichier .env. De plus, il est recommandé de revoir et de renforcer la configuration de sécurité de l'application, y compris la mise en œuvre de mesures de protection CSRF sur toutes les routes pertinentes et de s'assurer que le cache de configuration est géré correctement. Une validation robuste de toutes les entrées utilisateur doit être mise en œuvre pour prévenir de futures injections. Des audits de code réguliers doivent être effectués pour identifier des vulnérabilités similaires et appliquer des correctifs de sécurité rapidement.
Actualice a la versión 0.31.4 o superior para mitigar la vulnerabilidad. Esta versión corrige la falta de validación del parámetro 'host' en el controlador Install, evitando la inyección de configuraciones arbitrarias en el archivo .env.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le fichier .env est un fichier de configuration qui stocke des informations sensibles, telles que des clés API et des informations d'identification de base de données, en dehors du code source de l'application.
La version 0.31.4.0 corrige la vulnérabilité CVE-2026-39394, qui permet à un attaquant d'injecter des configurations malveillantes dans le fichier .env.
Si vous ne pouvez pas mettre à jour immédiatement, mettez en œuvre des mesures d'atténuation temporaires, telles que la restriction de l'accès à la route d'installation et la surveillance du fichier .env à la recherche de modifications non autorisées.
Mettez en œuvre une validation robuste de toutes les entrées utilisateur, examinez et renforcez la configuration de sécurité de l'application et appliquez des correctifs de sécurité rapidement.
Vous pouvez trouver plus d'informations sur cette vulnérabilité dans la base de données de vulnérabilités CVE : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-39394
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.