प्लेटफ़ॉर्म
php
घटक
ci4-cms-erp/ci4ms
में ठीक किया गया
0.31.1
0.31.0.0
CVE-2026-34558 ci4-cms-erp/ci4ms में एक संग्रहीत DOM XSS भेद्यता है। इस भेद्यता का फायदा उठाकर, हमलावर मेथड मैनेजमेंट फील्ड्स के माध्यम से दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकते हैं, जिससे संभावित रूप से संवेदनशील जानकारी का खुलासा हो सकता है या अनधिकृत क्रियाएं की जा सकती हैं। यह भेद्यता ci4-cms-erp/ci4ms के ≤0.28.6.0 संस्करणों को प्रभावित करती है। वर्जन 0.31.0.0 में इस समस्या को ठीक कर दिया गया है।
ci4ms में CVE-2026-34558 भेद्यता एक महत्वपूर्ण जोखिम प्रस्तुत करती है क्योंकि यह उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण जावास्क्रिप्ट कोड के निष्पादन की संभावना है। विधि प्रबंधन कार्यक्षमता में उपयोगकर्ता-नियंत्रित इनपुट के अपर्याप्त सैनिटाइजेशन के कारण, एक हमलावर कोड इंजेक्ट कर सकता है जिसे डेटाबेस में संग्रहीत किया जाएगा और प्रत्येक बार जब कोई उपयोगकर्ता उस विधि को प्रस्तुत करने वाले पृष्ठ तक पहुंचता है तो स्वचालित रूप से निष्पादित किया जाएगा, खासकर वैश्विक नेविगेशन में। इससे कुकीज़ की चोरी, उपयोगकर्ता इंटरफ़ेस में हेरफेर, दुर्भावनापूर्ण साइटों पर रीडायरेक्ट या यहां तक कि उपयोगकर्ता सत्र का पूर्ण नियंत्रण हो सकता है। पेलोड की स्थायी प्रकृति इस भेद्यता को विशेष रूप से खतरनाक बनाती है, क्योंकि एक ही हमले से कई उपयोगकर्ता और पृष्ठ प्रभावित हो सकते हैं।
यह भेद्यता विधि प्रबंधन कार्यक्षमता में इनपुट फ़ील्ड को हेरफेर करके शोषण की जाती है। एक हमलावर एक दुर्भावनापूर्ण विधि बना सकता है जिसमें एक फ़ील्ड में जावास्क्रिप्ट कोड इंजेक्ट किया गया है। इस कोड को डेटाबेस में संग्रहीत किया जाता है और विधि को नेविगेशन या एप्लिकेशन के अन्य स्थानों पर प्रस्तुत किए जाने पर स्वचालित रूप से निष्पादित किया जाता है। पेलोड की स्थायी प्रकृति का मतलब है कि यह भेद्यता एकल उपयोगकर्ता सत्र तक सीमित नहीं है; यह प्रभावित पृष्ठों तक पहुंचने वाले सभी उपयोगकर्ताओं को प्रभावित करता है। वैश्विक नेविगेशन में स्वचालित निष्पादन प्रभाव को बढ़ाता है, क्योंकि विधि प्रदर्शित करने वाले प्रत्येक पृष्ठ पर पेलोड चलता है।
Organizations utilizing ci4-cms-erp/ci4ms in production environments, particularly those with custom methods or pages built using the platform, are at significant risk. Shared hosting environments where multiple applications share the same server resources are also at increased risk, as a compromise of one application could potentially lead to the compromise of others.
• php: Examine application logs for unusual JavaScript execution patterns or attempts to create/modify methods with suspicious characters.
grep -i 'javascript:|alert|prompt' /var/log/apache2/error.log• generic web: Inspect HTTP requests to the Methods Management endpoint for suspicious parameters or payloads.
curl -v 'https://your-ci4ms-instance/methods/create?name=<script>alert(1)</script>' • generic web: Review the application's source code, particularly the Methods Management functionality, for instances of unsanitized user input.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (16% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34558 को कम करने के लिए, ci4ms को संस्करण 0.31.0.0 या उच्चतर में अपग्रेड करने की दृढ़ता से अनुशंसा की जाती है। इस संस्करण में एक फिक्स शामिल है जो विधि प्रबंधन कार्यक्षमता में उपयोगकर्ता इनपुट के उचित सैनिटाइजेशन को लागू करता है। इसके अतिरिक्त, अपने एप्लिकेशन कोड में सभी उपयोगकर्ता इनपुट को मजबूत सैनिटाइजेशन लाइब्रेरी का उपयोग करके सत्यापित और मान्य करें। कंटेंट सिक्योरिटी पॉलिसी (CSP) को लागू करने से एप्लिकेशन से समझौता किए जाने पर भी XSS हमलों के प्रभाव को कम करने में मदद मिल सकती है। एप्लिकेशन लॉग की निगरानी संदिग्ध गतिविधि के लिए भी संभावित हमलों का पता लगाने और प्रतिक्रिया देने में मदद कर सकती है।
CI4MS को संस्करण 0.31.0.0 या उच्चतर में अपडेट करें। यह संस्करण मेथड मैनेजमेंट कार्यक्षमता में संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) कमजोरियों को ठीक करता है, जिससे व्यवस्थापकों के ब्राउज़र में दुर्भावनापूर्ण जावास्क्रिप्ट कोड का निष्पादन रोका जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
एक XSS (क्रॉस-साइट स्क्रिप्टिंग) हमला एक हमलावर को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पेज में दुर्भावनापूर्ण कोड (आमतौर पर जावास्क्रिप्ट) इंजेक्ट करने की अनुमति देता है।
यह भेद्यता स्थायी है, जिसका अर्थ है कि पेलोड को डेटाबेस में संग्रहीत किया जाता है और प्रभावित पृष्ठों तक पहुंचने वाले सभी उपयोगकर्ताओं के लिए स्वचालित रूप से निष्पादित किया जाता है। वैश्विक नेविगेशन में निष्पादन जोखिम को बढ़ाता है।
एक कंटेंट सिक्योरिटी पॉलिसी (CSP) लागू करें और अपने एप्लिकेशन कोड में सभी उपयोगकर्ता इनपुट को ध्यान से सत्यापित करें।
असामान्य अनुरोधों या डेटाबेस में अप्रत्याशित संशोधनों जैसे संदिग्ध गतिविधि के लिए एप्लिकेशन लॉग की निगरानी करें।
कई वेब सुरक्षा स्कैनिंग उपकरण हैं जो स्वचालित और मैन्युअल दोनों तरह से XSS भेद्यताओं की पहचान करने में आपकी सहायता कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।