Platform
php
Component
ci4-cms-erp/ci4ms
Opgelost in
0.31.1
0.31.0.0
CVE-2026-34557 beschrijft een Stored DOM Cross-Site Scripting (XSS) kwetsbaarheid in de ci4-cms-erp/ci4ms applicatie. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om kwaadaardige JavaScript-code op te slaan en uit te voeren binnen de administratieve interface. De kwetsbaarheid treedt op in de groepen/rollenbeheer functionaliteit, waar invoer niet correct wordt gesanitiseerd. De kwetsbaarheid is van invloed op versies van ci4-cms-erp/ci4ms tot en met 0.28.6.0. Een upgrade naar versie 0.31.0.0 is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van CVE-2026-34557 stelt een aanvaller in staat om willekeurige JavaScript-code uit te voeren in de context van een geauthenticeerde administrator. Dit kan leiden tot volledige controle over de applicatie, inclusief het stelen van gevoelige gegevens, het wijzigen van configuraties en het uitvoeren van acties namens de administrator. De opgeslagen XSS-payloads worden persistent opgeslagen en kunnen worden geactiveerd bij elke weergave van de betreffende administratieve pagina's, waardoor de impact aanzienlijk is. Dit soort XSS-kwetsbaarheden kunnen worden gebruikt om sessiecookies te stelen en zo toegang te krijgen tot accounts van andere gebruikers, of om phishing-aanvallen uit te voeren binnen de applicatie.
Er is momenteel geen publieke exploitatie bevestigd voor CVE-2026-34557. De kwetsbaarheid is openbaar gemaakt op 2026-04-01. De CVSS-score is 9.1 (CRITICAL), wat wijst op een hoog risico. Het is raadzaam om de kwetsbaarheid serieus te nemen en onmiddellijk te mitigeren.
Organizations utilizing ci4-cms-erp/ci4ms in administrative roles, particularly those with limited security controls or outdated versions, are at significant risk. Shared hosting environments where multiple users share the same instance of ci4-cms-erp/ci4ms are also particularly vulnerable, as an attacker could potentially compromise the entire hosting environment through this vulnerability.
• php: Examine application logs for unusual JavaScript execution patterns or errors related to group/role management.
grep -i 'javascript:|alert(' /var/log/apache2/error.log• generic web: Monitor HTTP requests and responses for suspicious JavaScript payloads within group/role management endpoints.
curl -s 'https://your-ci4ms-site.com/admin/groups/edit/1' | grep -i 'javascript:'• generic web: Check for unusual characters or code within group/role names or descriptions.
cat /path/to/database/groups_table.sql | grep -i 'javascript:'disclosure
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-34557 is het upgraden van ci4-cms-erp/ci4ms naar versie 0.31.0.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan om de invoer in de groepen/rollenbeheer functionaliteit te valideren en te sanitiseren op de server-side. Implementeer strikte inputvalidatie en output encoding om te voorkomen dat kwaadaardige code wordt uitgevoerd. Het gebruik van een Web Application Firewall (WAF) kan helpen om aanvallen te blokkeren die deze kwetsbaarheid proberen te exploiteren. Controleer de configuratie van de applicatie op onnodige privileges en beperk de toegang tot de administratieve interface. Na de upgrade, controleer de groepen/rollenbeheer functionaliteit om te bevestigen dat de kwetsbaarheid is verholpen.
Actualiseer CI4MS naar versie 0.31.0.0 of hoger. Deze versie corrigeert de Cross-Site Scripting (XSS) opgeslagen kwetsbaarheid in de group en role management, waardoor de uitvoering van kwaadaardige JavaScript code in de administratieve context wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-34557 is a critical stored DOM XSS vulnerability in ci4-cms-erp/ci4ms, allowing attackers to inject malicious JavaScript into group/role management fields, potentially leading to administrative context execution.
You are affected if you are using ci4-cms-erp/ci4ms versions 0.28.6.0 or earlier. Upgrade to 0.31.0.0 to resolve the vulnerability.
The recommended fix is to upgrade to version 0.31.0.0 or later of ci4-cms-erp/ci4ms. Implement input validation and output encoding as a temporary workaround.
While no active campaigns have been publicly reported, the vulnerability's criticality and ease of exploitation suggest a high potential for exploitation. Continuous monitoring is advised.
Refer to the official ci4-cms-erp/ci4ms project repository or website for the latest advisory and security updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.