प्लेटफ़ॉर्म
php
घटक
ci4ms
में ठीक किया गया
0.31.5
CVE-2026-39393 is a high-severity vulnerability affecting CI4MS, a CodeIgniter 4-based CMS skeleton. This flaw allows an unauthenticated attacker to overwrite the critical .env file, potentially gaining full control over the database. The vulnerability impacts versions 0.0.0 through 0.31.3. A fix is available in version 0.31.4.
CI4MS में CVE-2026-39393 एक हमलावर को इंस्टॉलेशन के बाद सेटअप विज़ार्ड तक पहुंचने की अनुमति देता है, भले ही इंस्टॉलेशन पूरा हो गया हो। यह इंस्टॉलेशन रूट गार्ड में एक दोष के कारण है। सिस्टम केवल एक्सेस को ब्लॉक करने के लिए अस्थिर कैश चेक (cache('settings')) और .env फ़ाइल के अस्तित्व पर निर्भर करता है। यदि डेटाबेस कैश मिस (TTL समाप्ति या व्यवस्थापक द्वारा ट्रिगर किए गए कैश क्लियर) के दौरान अस्थायी रूप से अनुपलब्ध हो जाता है, तो गार्ड खुल जाएगा और सेटअप विज़ार्ड तक अनधिकृत पहुंच की अनुमति देगा। यह एक हमलावर को सिस्टम कॉन्फ़िगरेशन को संशोधित करने, व्यवस्थापक खाते बनाने या वेबसाइट की सुरक्षा से समझौता करने की अनुमति दे सकता है।
यदि डेटाबेस इंस्टॉलेशन रूट पर अनुरोध के दौरान अस्थायी रूप से अनुपलब्ध है, तो एक हमलावर इस भेद्यता का फायदा उठा सकता है। यह नेटवर्क समस्याओं, डेटाबेस ओवरलोड या अनुसूचित रखरखाव के कारण हो सकता है। यदि कैश अनुपलब्ध है या समाप्त हो गया है, तो गार्ड जांच में विफल हो जाएगा और सेटअप विज़ार्ड तक पहुंच की अनुमति देगा। फिर हमलावर सिस्टम कॉन्फ़िगरेशन को संशोधित करने या व्यवस्थापक खाते बनाने के लिए सेटअप विज़ार्ड का उपयोग कर सकता है, जिससे वेबसाइट की सुरक्षा से समझौता हो जाएगा। शोषण की संभावना डेटाबेस कनेक्शन की स्थिरता और कैश कॉन्फ़िगरेशन पर निर्भर करती है।
CI4MS installations that have not been upgraded past version 0.31.3 are at risk. This includes deployments that rely on shared hosting environments, as well as those with legacy configurations or limited resources for timely patching. Installations that experience frequent database connectivity issues are particularly vulnerable.
• php: Examine CI4MS application logs for attempts to access the setup wizard during periods of database unavailability. Look for errors related to cache misses or database connection failures. • generic web: Monitor web server access logs for requests targeting the CI4MS setup route (typically /install) originating from unusual IP addresses. • generic web: Check the .env file for unexpected or malicious database credentials using a file integrity monitoring tool.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता का समाधान CI4MS को संस्करण 0.31.4 या उच्चतर में अपडेट करना है। यह संस्करण सेटअप विज़ार्ड तक पहुंच निर्धारित करने के लिए अधिक मजबूत जांच को लागू करके इस मुद्दे को ठीक करता है। यह अपडेट सुनिश्चित करता है कि डेटाबेस अस्थायी रूप से अनुपलब्ध होने की स्थिति में केवल अधिकृत उपयोगकर्ताओं को ही सेटअप विज़ार्ड तक पहुंच प्राप्त हो। संभावित हमलों से अपनी वेबसाइट की सुरक्षा के लिए इस अपडेट को यथासंभव जल्द से जल्द लागू करने की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, सुनिश्चित करें कि आपका कैश सही ढंग से कॉन्फ़िगर किया गया है और TTL उपयुक्त हैं ताकि उन कैशिंग समस्याओं से बचा जा सके जो भेद्यता को बढ़ा सकती हैं।
Actualice a la versión 0.31.4 o superior para corregir la vulnerabilidad. Esta versión implementa una validación más robusta para prevenir el acceso no autorizado al instalador después de la instalación.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CI4MS एक CodeIgniter 4-आधारित CMS कंकाल है जो RBAC प्राधिकरण और थीम समर्थन के साथ उत्पादन-तैयार, मॉड्यूलर आर्किटेक्चर प्रदान करता है।
संस्करण 0.31.4 CVE-2026-39393 भेद्यता को ठीक करता है, जो सेटअप विज़ार्ड तक अनधिकृत पहुंच की अनुमति देता है।
यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो अतिरिक्त सुरक्षा उपाय करने पर विचार करें, जैसे कि सेटअप विज़ार्ड तक नेटवर्क एक्सेस को प्रतिबंधित करना।
यदि आप 0.31.4 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप संभवतः भेद्य हैं। अधिक विवरण के लिए CI4MS दस्तावेज़ देखें।
अन्य ज्ञात भेद्यताओं के बारे में जानकारी के लिए CI4MS आधिकारिक दस्तावेज़ और सुरक्षा सलाह देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।