Platform
php
Component
ci4-cms-erp/ci4ms
Opgelost in
0.28.6
0.28.5.0
CVE-2026-25510 is een kritieke Remote Code Execution (RCE) kwetsbaarheid die is ontdekt in ci4-cms-erp/ci4ms. Deze kwetsbaarheid stelt een geauthenticeerde gebruiker met bestand bewerkingsrechten in staat om willekeurige PHP-code uit te voeren op de server. De kwetsbaarheid treft versies van ci4-cms-erp/ci4ms tot en met 0.28.4.0. Een fix is beschikbaar in versie 0.28.5.0.
Deze RCE-kwetsbaarheid is zeer ernstig omdat een aanvaller, nadat hij is geauthenticeerd en bestand bewerkingsrechten heeft, volledige controle over de server kan verkrijgen. De aanvaller kan willekeurige PHP-code uploaden en uitvoeren, wat kan leiden tot data-exfiltratie, systeemcompromittering, en verdere aanvallen op andere systemen binnen het netwerk. De kwetsbaarheid is te wijten aan het feit dat de createFile endpoint bestanden met elke extensie, inclusief .php, kan aanmaken in web-toegankelijke directories zoals /public. Dit maakt het mogelijk om kwaadaardige code te uploaden en uit te voeren.
Op dit moment is er geen publieke exploitatie bevestigd, maar de kwetsbaarheid is kritiek en vereist onmiddellijke aandacht. De kwetsbaarheid is openbaar gemaakt op 2026-02-02. Er zijn geen bekende KEV-listings op het moment van schrijven. Het is aannemelijk dat deze kwetsbaarheid in de toekomst actief zal worden uitgebuit, gezien de ernst en de eenvoud van de exploitatie.
Organizations using ci4-cms-erp/ci4ms in production environments, particularly those with multiple users having file editor permissions, are at significant risk. Shared hosting environments where multiple users share the same server and file system are especially vulnerable.
• php: Examine web server access logs for requests to /backend/fileeditor/createFile and /backend/fileeditor/save from authenticated users. Look for unusual file extensions (e.g., .php) being created in web-accessible directories like /public.
grep -i 'fileeditor/createFile|fileeditor/save' /var/log/apache2/access.log• php: Check the file system for newly created PHP files in web-accessible directories (e.g., /public) with suspicious names or content.
find /var/www/html/public -name '*.php' -newermt '2026-02-02'• generic web: Monitor for unusual PHP process executions on the server.
ps aux | grep phpdisclosure
Exploit Status
EPSS
0.13% (33% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 0.28.5.0 of hoger van ci4-cms-erp/ci4ms. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de bestandstypes die kunnen worden geüpload via de /backend/fileeditor/createFile endpoint. Implementeer strikte toegangscontroles om ervoor te zorgen dat alleen geautoriseerde gebruikers bestand bewerkingsrechten hebben. Controleer de /backend/fileeditor/save endpoint op verdachte activiteiten en implementeer een Web Application Firewall (WAF) om kwaadaardige uploads te blokkeren. Na de upgrade, verifieer de fix door te proberen een .php bestand te uploaden via de createFile endpoint en controleer of dit wordt geblokkeerd.
Actualiseer ci4ms naar versie 0.28.5.0 of hoger. Deze versie bevat een correctie voor de remote code execution kwetsbaarheid. De update voorkomt dat geauthenticeerde gebruikers met bestand editor permissies willekeurige PHP code op de server uitvoeren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-25510 is a critical Remote Code Execution vulnerability in ci4-cms-erp/ci4ms versions up to 0.28.4.0, allowing authenticated users to execute arbitrary PHP code.
You are affected if you are using ci4-cms-erp/ci4ms version 0.28.4.0 or earlier.
Upgrade to version 0.28.5.0 or later to address the vulnerability. If immediate upgrade is not possible, restrict file editor permissions and implement input validation.
While no widespread exploitation has been confirmed, the vulnerability's ease of exploitation suggests a potential for active exploitation.
Refer to the official ci4-cms-erp project's release notes or security advisories for details on the fix and further information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.