プラットフォーム
php
コンポーネント
ci4-cms-erp/ci4ms
修正版
0.31.1
0.31.0.0
CI4MSは、CodeIgniter 4ベースのCMSスケルトンです。バージョン0.31.0.0より前のバージョンでは、バックエンドのユーザー管理機能に保存型クロスサイトスクリプティング(Stored XSS)の脆弱性があります。アプリケーションは、管理インターフェイスでレンダリングする前に、ユーザー制御の入力を適切にサニタイズしないため、攻撃者は永続的なJavaScriptコードを挿入できます。これにより、バックエンドユーザーが影響を受けるページにアクセスするたびに自動的に実行され、セッションハイジャック、権限昇格、および完全な管理が可能になります。
ci4msにおけるCVE-2026-34571は、バックエンドのユーザー管理機能におけるStored Cross-Site Scripting(XSS)脆弱性により、重大なリスクをもたらします。アプリケーションは、管理インターフェースでレンダリングする前に、ユーザーが制御する入力を適切にサニタイズせず、攻撃者が永続的なJavaScriptコードを注入することを可能にします。このコードは、バックエンドユーザーが影響を受けたページにアクセスするたびに自動的に実行され、セッションハイジャック、権限昇格、および完全な管理者アカウントの侵害につながる可能性があります。CVSSスコア9.9は、この問題の重大さを強調し、即時の対応が必要です。
攻撃者は、ci4msの管理インターフェース内のユーザー入力フィールドに悪意のあるJavaScriptコードを注入することで、この脆弱性を悪用できます。このコードは、セッションCookieを盗んだり、ユーザーを悪意のあるWebサイトにリダイレクトしたり、管理者の代わりにアクションを実行するように設計されている可能性があります。XSSコードの永続性により、更新が適用されるまで脆弱性が有効なままであり、侵害されたページにアクセスするすべてのバックエンドユーザーに影響を与えます。ユーザー入力の適切な検証の欠如が、この脆弱性の根本原因です。
Organizations using ci4-cms-erp/ci4ms in their backend systems, particularly those with administrative access to the user management functionality, are at risk. Shared hosting environments where multiple users share the same instance of ci4-cms-erp/ci4ms are especially vulnerable, as a compromise of one user could lead to the compromise of others.
• php: Examine backend user management logs for suspicious JavaScript injection attempts. Search for unusual characters or patterns in user input fields.
• generic web: Use curl to test the user creation endpoint with various payloads containing <script> tags. Monitor response headers for signs of XSS.
curl -X POST -d 'username=<script>alert("XSS")</script>' https://your-ci4ms-instance/backend/us• generic web: Review access and error logs for requests containing XSS payloads. Look for patterns indicative of attempted injection. • generic web: Use browser developer tools to monitor for JavaScript execution originating from unexpected sources.
disclosure
エクスプロイト状況
EPSS
0.05% (17% パーセンタイル)
CISA SSVC
CVE-2026-34571の軽減策として推奨されるのは、ci4msをバージョン0.31.0.0以降に更新することです。このバージョンには、ユーザー入力を適切にサニタイズし、悪意のあるコードの注入を防ぐための必要な修正が含まれています。その間は、管理インターフェースへのアクセスを承認されたユーザーのみに制限し、システムログを積極的に監視して不審な活動がないか確認してください。堅牢なパスワードセキュリティポリシーを実装し、二要素認証(2FA)を有効にすることで、不正アクセスに対する追加の保護層を提供できます。定期的なセキュリティ監査は、同様の脆弱性を特定し、修正するのに役立ちます。
Actualice CI4MS a la versión 0.31.0.0 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en la gestión de usuarios del backend.
脆弱性分析と重要アラートをメールでお届けします。
XSS(Cross-Site Scripting)は、攻撃者が他のユーザーが閲覧するWebページに悪意のあるスクリプトを注入できるセキュリティ脆弱性の種類です。
この脆弱性は、攻撃者が管理者アカウントを侵害できるため、システムへの完全アクセス権を得ることができるからです。
管理インターフェースへのアクセスを制限し、システムログを監視して不審な活動がないか確認してください。
XSS脆弱性を特定するのに役立つ、さまざまなWebセキュリティスキャンツールがあります。
強力でユニークなパスワードを使用し、可能な限り二要素認証(2FA)を有効にしてください。
CVSS ベクトル