प्लेटफ़ॉर्म
php
घटक
ci4-cms-erp/ci4ms
में ठीक किया गया
0.31.1
0.31.0.0
CVE-2026-34565 describes a stored DOM Cross-Site Scripting (XSS) vulnerability within the ci4-cms-erp/ci4ms CMS ERP system. This vulnerability allows attackers to inject malicious scripts that are persistently stored and rendered, potentially compromising administrative interfaces and public-facing navigation menus. The vulnerability affects versions of ci4-cms-erp/ci4ms up to and including 0.28.6.0, with a fix available in version 0.31.0.0.
CVE-2026-34565 ci4ms एप्लिकेशन को प्रभावित करता है, विशेष रूप से मेनू प्रबंधन कार्यक्षमता को। यह भेद्यता एक Stored DOM XSS है जो नेविगेशन मेनू में पोस्ट प्रविष्टियों को जोड़ने के माध्यम से लगातार पेलोड इंजेक्शन की अनुमति देती है। एक हमलावर पोस्ट से संबंधित डेटा फ़ील्ड में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है, जिसे मेनू पृष्ठ पर उचित आउटपुट एन्कोडिंग के बिना सर्वर-साइड पर संग्रहीत और प्रस्तुत किया जाएगा। यह किसी भी उपयोगकर्ता के ब्राउज़र में मनमाना कोड निष्पादित करने की अनुमति देता है जो मेनू पृष्ठ पर जाता है, जिससे कुकी चोरी, दुर्भावनापूर्ण रीडायरेक्ट या वेबसाइट संशोधन हो सकता है। CVSS गंभीरता स्कोर 9.1 है, जो एक गंभीर जोखिम दर्शाता है।
यह भेद्यता नेविगेशन मेनू में एक पोस्ट जोड़कर शोषण किया जाता है। हमलावर पोस्ट के शीर्षक, विवरण या किसी अन्य टेक्स्ट फ़ील्ड में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करता है। यह कोड डेटाबेस में संग्रहीत किया जाता है और मेनू पृष्ठ पर प्रस्तुत किया जाता है। जब कोई उपयोगकर्ता मेनू पृष्ठ पर जाता है, तो इंजेक्ट किया गया जावास्क्रिप्ट कोड उसके ब्राउज़र में निष्पादित होता है। हमलावर इस भेद्यता का उपयोग संवेदनशील जानकारी, जैसे सत्र कुकी चोरी करने या उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करने के लिए कर सकता है। पेलोड की दृढ़ता का मतलब है कि जब तक फिक्स लागू नहीं किया जाता है, तब तक भेद्यता सक्रिय रहेगी।
Organizations using ci4-cms-erp/ci4ms for their ERP and CMS needs, particularly those relying on the menu management functionality for navigation or administrative access, are at risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Legacy configurations with outdated security practices are also at increased risk.
• wordpress / composer / npm:
grep -r '<script>' /var/www/ci4ms/application/controllers/Admin/Menu.php
grep -r '->view()' /var/www/ci4ms/application/views/*• generic web:
curl -I http://your-ci4ms-site.com/admin/menu/add_post | grep -i 'x-xss-protection'• generic web:
Inspect the HTML source code of the menu pages for any unexpected <script> tags or JavaScript code.
disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34565 का समाधान ci4ms एप्लिकेशन को संस्करण 0.31.0.0 या बाद के संस्करण में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो मेनू पृष्ठ पर पोस्ट डेटा प्रस्तुत करते समय उचित आउटपुट एन्कोडिंग को लागू करता है। इसके अतिरिक्त, एप्लिकेशन के अन्य क्षेत्रों में किसी भी समान भेद्यता की पहचान और सुधार करने के लिए कोड का सुरक्षा ऑडिट करने की सिफारिश की जाती है। भविष्य के XSS हमलों को रोकने के लिए सभी उपयोगकर्ता इनपुट को मान्य और सैनिटाइज करने सहित सुरक्षित कोडिंग प्रथाओं को लागू करना महत्वपूर्ण है। इस प्रकार की भेद्यता के खिलाफ सुरक्षा सुनिश्चित करने के लिए एप्लिकेशन सुरक्षा नीतियों की समीक्षा और अपडेट करें।
Actualice CI4MS a la versión 0.31.0.0 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en la gestión de menús.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह XSS भेद्यता का एक प्रकार है जहां दुर्भावनापूर्ण कोड एप्लिकेशन के डेटाबेस में संग्रहीत होता है और हर बार जब कोई उपयोगकर्ता संग्रहीत सामग्री प्रदर्शित करने वाले पृष्ठ तक पहुंचता है तो निष्पादित होता है।
CVSS (कॉमन भेद्यता स्कोरिंग सिस्टम) भेद्यता की गंभीरता का मूल्यांकन करने के लिए एक मानक है। 9.1 का स्कोर एक गंभीर जोखिम दर्शाता है।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो उपयोगकर्ता इनपुट के सख्त सत्यापन और सामग्री सुरक्षा नीति (CSP) का उपयोग करने जैसे अस्थायी शमन उपायों को लागू करने पर विचार करें।
नेविगेशन मेनू में एक पोस्ट जोड़ने और एक साधारण XSS पेलोड (जैसे <script>alert('XSS')</script>) इंजेक्ट करने का प्रयास करें। यदि कोई अलर्ट प्रदर्शित होता है, तो आपका एप्लिकेशन कमजोर है।
हां, ऐसे कई भेद्यता स्कैनिंग उपकरण हैं जो आपको स्वचालित और मैन्युअल दोनों तरह के XSS भेद्यताओं की पहचान करने में मदद कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।