Platform
php
Component
ci4-cms-erp/ci4ms
Opgelost in
0.31.1
0.31.0.0
CVE-2026-34558 beschrijft een kritieke Stored DOM Cross-Site Scripting (XSS) kwetsbaarheid in de component ci4-cms-erp/ci4ms, versie 0.28.6.0 en lager. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om kwaadaardige JavaScript-code uit te voeren via ongesanitized invoer in de Methodenbeheer functionaliteit. De kwetsbaarheid is verholpen in versie 0.31.0.0.
Deze XSS-kwetsbaarheid stelt een aanvaller in staat om willekeurige JavaScript-code uit te voeren in de context van de gebruiker die de pagina bekijkt. De payload wordt opgeslagen in de database en automatisch uitgevoerd op alle pagina's waar de betreffende methode wordt weergegeven in de navigatie. Dit kan leiden tot accountovername, gegevensdiefstal, defacement van de website en verdere aanvallen op het systeem. De impact is aanzienlijk, aangezien de payload persistent is en automatisch wordt uitgevoerd, waardoor het moeilijk te detecteren en te voorkomen is zonder een snelle mitigatie.
Deze kwetsbaarheid is openbaar bekend sinds 2026-04-01. Er zijn momenteel geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid, maar de mogelijkheid tot exploitatie is aanwezig. De CVSS-score van 9.1 (CRITICAL) duidt op een hoge mate van ernst en potentiële impact. Er zijn geen publicaties op KEV bekend op het moment van schrijven.
Organizations utilizing ci4-cms-erp/ci4ms in production environments, particularly those with custom methods or pages built using the platform, are at significant risk. Shared hosting environments where multiple applications share the same server resources are also at increased risk, as a compromise of one application could potentially lead to the compromise of others.
• php: Examine application logs for unusual JavaScript execution patterns or attempts to create/modify methods with suspicious characters.
grep -i 'javascript:|alert|prompt' /var/log/apache2/error.log• generic web: Inspect HTTP requests to the Methods Management endpoint for suspicious parameters or payloads.
curl -v 'https://your-ci4ms-instance/methods/create?name=<script>alert(1)</script>' • generic web: Review the application's source code, particularly the Methods Management functionality, for instances of unsanitized user input.
disclosure
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 0.31.0.0 of hoger van ci4-cms-erp/ci4ms. Indien een upgrade momenteel niet mogelijk is, overweeg dan om de invoer in de Methodenbeheer functionaliteit te valideren en te sanitiseren. Implementeer een Web Application Firewall (WAF) met regels om XSS-aanvallen te blokkeren, specifiek gericht op de Methodenbeheer endpoints. Controleer de configuratie van de applicatie om te verzekeren dat alle invoer correct wordt gevalideerd en ontsmet.
Actualiseer CI4MS naar versie 0.31.0.0 of hoger. Deze versie corrigeert de Stored Cross-Site Scripting (XSS) kwetsbaarheden in de Methods Management functionaliteit, waardoor de uitvoering van kwaadaardige JavaScript code in de browsers van beheerders wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-34558 is a critical stored DOM XSS vulnerability in ci4-cms-erp/ci4ms, allowing attackers to inject malicious JavaScript via method management inputs.
Yes, if you are using ci4-cms-erp/ci4ms versions prior to 0.31.0.0, you are vulnerable to this XSS attack.
Upgrade to version 0.31.0.0 or later to remediate the vulnerability. Implement input validation and output encoding as a temporary workaround.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest it is likely to become a target.
Refer to the official ci4-cms-erp project repository or website for the latest security advisories and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.