प्लेटफ़ॉर्म
php
घटक
ci4-cms-erp/ci4ms
में ठीक किया गया
0.31.1
0.31.0.0
CVE-2026-34557 एक संग्रहीत DOM क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो ci4-cms-erp/ci4ms में पाई गई है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण JavaScript कोड इंजेक्ट करने की अनुमति देती है, जो तब प्रशासनिक कार्यों को निष्पादित करने के लिए उपयोग किया जा सकता है। यह भेद्यता ci4-cms-erp/ci4ms के संस्करणों ≤0.28.6.0 को प्रभावित करती है, और इसे संस्करण 0.31.0.0 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को प्रशासनिक पैनल में अनधिकृत क्रियाएं करने की अनुमति दे सकती है, जैसे कि उपयोगकर्ता खातों को संशोधित करना, डेटा को हटाना या बदलना, और सिस्टम कॉन्फ़िगरेशन को बदलना। चूंकि भेद्यता संग्रहीत XSS है, इसलिए हमलावर दुर्भावनापूर्ण स्क्रिप्ट को इंजेक्ट कर सकते हैं जो हर बार प्रभावित पृष्ठ लोड होने पर निष्पादित होगी, जिससे लगातार हमले का खतरा बढ़ जाता है। एक सफल शोषण से संवेदनशील जानकारी का प्रकटीकरण, सत्र अपहरण, और सिस्टम पर पूर्ण नियंत्रण भी हो सकता है। इस भेद्यता का प्रभाव उच्च है, खासकर उन संगठनों के लिए जो ci4-cms-erp/ci4ms पर निर्भर हैं और जिनके पास मजबूत सुरक्षा नियंत्रण नहीं हैं।
CVE-2026-34557 को अभी तक KEV में शामिल नहीं किया गया है, लेकिन CVSS स्कोर 9.1 (CRITICAL) इंगित करता है कि इसका शोषण उच्च संभावना है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन XSS भेद्यताओं की व्यापकता को देखते हुए, शोषण का विकास संभव है। इस CVE को 2026-04-01 को प्रकाशित किया गया था, जो सार्वजनिक भेद्यता प्रकटीकरण को दर्शाता है।
Organizations utilizing ci4-cms-erp/ci4ms in administrative roles, particularly those with limited security controls or outdated versions, are at significant risk. Shared hosting environments where multiple users share the same instance of ci4-cms-erp/ci4ms are also particularly vulnerable, as an attacker could potentially compromise the entire hosting environment through this vulnerability.
• php: Examine application logs for unusual JavaScript execution patterns or errors related to group/role management.
grep -i 'javascript:|alert(' /var/log/apache2/error.log• generic web: Monitor HTTP requests and responses for suspicious JavaScript payloads within group/role management endpoints.
curl -s 'https://your-ci4ms-site.com/admin/groups/edit/1' | grep -i 'javascript:'• generic web: Check for unusual characters or code within group/role names or descriptions.
cat /path/to/database/groups_table.sql | grep -i 'javascript:'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (16% शतमक)
CISA SSVC
CVSS वेक्टर
सबसे प्रभावी शमन उपाय ci4-cms-erp/ci4ms को संस्करण 0.31.0.0 या उच्चतर में अपडेट करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने पर विचार करें जो XSS हमलों को फ़िल्टर कर सके। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को मजबूत करना महत्वपूर्ण है। सुनिश्चित करें कि सभी उपयोगकर्ता-प्रदत्त इनपुट को ठीक से मान्य और सैनिटाइज किया गया है, और आउटपुट को सुरक्षित रूप से एन्कोड किया गया है ताकि दुर्भावनापूर्ण स्क्रिप्ट को निष्पादित होने से रोका जा सके। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, सभी प्रासंगिक पृष्ठों को लोड करके और यह सुनिश्चित करके कि कोई दुर्भावनापूर्ण स्क्रिप्ट निष्पादित नहीं हो रही है।
CI4MS को संस्करण 0.31.0.0 या उच्चतर में अपडेट करें। यह संस्करण समूह और भूमिका प्रबंधन में संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता को ठीक करता है, प्रशासनिक संदर्भ में दुर्भावनापूर्ण जावास्क्रिप्ट कोड के निष्पादन को रोकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-34557 ci4-cms-erp/ci4ms में एक संग्रहीत DOM XSS भेद्यता है जो हमलावरों को प्रशासनिक संदर्भ में दुर्भावनापूर्ण JavaScript कोड निष्पादित करने की अनुमति देती है।
यदि आप ci4-cms-erp/ci4ms के संस्करण ≤0.28.6.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
ci4-cms-erp/ci4ms को संस्करण 0.31.0.0 या उच्चतर में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो WAF लागू करें और इनपुट सत्यापन और आउटपुट एन्कोडिंग को मजबूत करें।
हालांकि सार्वजनिक PoC ज्ञात नहीं हैं, लेकिन उच्च CVSS स्कोर के कारण सक्रिय शोषण की संभावना है।
आधिकारिक सलाहकार के लिए ci4-cms-erp/ci4ms वेबसाइट या GitHub रिपॉजिटरी की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।