CI4MS: बैकएंड उपयोगकर्ता प्रबंधन में संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (Stored XSS) सत्र अपहरण और पूर्ण प्रशासनिक खाता समझौते की अनुमति देता है

ci4ms में CVE-2026-34571 बैकएंड उपयोगकर्ता प्रबंधन कार्यक्षमता में संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता के कारण एक गंभीर जोखिम पैदा करता है। एप्लिकेशन व्यवस्थापक इंटरफ़ेस में प्रस्तुत करने से पहले उपयोगकर्ता-नियंत्रित इनपुट को ठीक से सैनिटाइज करने में विफल रहता है, जिससे हमलावरों को लगातार जावास्क्रिप्ट कोड इंजेक्ट करने की अनुमति मिलती है। जब भी बैकएंड उपयोगकर्ता प्रभावित पृष्ठ तक पहुंचते हैं तो यह कोड स्वचालित रूप से निष्पादित होता है, जिससे सत्र अपहरण, विशेषाधिकार वृद्धि और पूर्ण व्यवस्थापक खाते का समझौता हो सकता है। CVSS स्कोर 9.9 इस मुद्दे की गंभीरता पर प्रकाश डालता है, तत्काल ध्यान देने की आवश्यकता होती है।

Organizations using ci4-cms-erp/ci4ms in their backend systems, particularly those with administrative access to the user management functionality, are at risk. Shared hosting environments where multiple users share the same instance of ci4-cms-erp/ci4ms are especially vulnerable, as a compromise of one user could lead to the compromise of others.

• php: Examine backend user management logs for suspicious JavaScript injection attempts. Search for unusual characters or patterns in user input fields. • generic web: Use curl to test the user creation endpoint with various payloads containing <script> tags. Monitor response headers for signs of XSS.

curl -X POST -d 'username=<script>alert("XSS")</script>' https://your-ci4ms-instance/backend/us

• generic web: Review access and error logs for requests containing XSS payloads. Look for patterns indicative of attempted injection. • generic web: Use browser developer tools to monitor for JavaScript execution originating from unexpected sources.

1. 2026-04-01Disclosure

   disclosure

1. आरक्षित2026-03-30
2. प्रकाशित2026-04-01
3. संशोधित2026-04-06
4. EPSS अद्यतन2026-04-09

CVE-2026-34571 के लिए अनुशंसित शमन ci4ms को संस्करण 0.31.0.0 या उच्चतर में अपडेट करना है। इस संस्करण में उपयोगकर्ता इनपुट को ठीक से सैनिटाइज करने और दुर्भावनापूर्ण कोड इंजेक्शन को रोकने के लिए आवश्यक फिक्स शामिल हैं। इस बीच, केवल अधिकृत उपयोगकर्ताओं को व्यवस्थापक इंटरफ़ेस तक पहुंच प्रतिबंधित करें और संदिग्ध गतिविधि के लिए सिस्टम लॉग की सक्रिय रूप से निगरानी करें। एक मजबूत पासवर्ड सुरक्षा नीति को लागू करना और दो-कारक प्रमाणीकरण (2FA) को सक्षम करना अनधिकृत पहुंच के खिलाफ एक अतिरिक्त सुरक्षा परत प्रदान कर सकता है। नियमित सुरक्षा ऑडिट समान कमजोरियों की पहचान करने और उन्हें ठीक करने में मदद कर सकते हैं।

अंतिम अपडेट

0.31.9हाल ही में