Platform
php
Component
ci4-cms-erp/ci4ms
Opgelost in
0.31.1
0.31.0.0
CVE-2026-34560 beschrijft een Stored DOM Blind Cross-Site Scripting (XSS) kwetsbaarheid in de ci4-cms-erp/ci4ms applicatie. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om kwaadaardige scripts uit te voeren door ongecodeerde, door de gebruiker gecontroleerde loggegevens weer te geven in de logs interface. De impact is significant, aangezien dit kan leiden tot administratieve context uitvoering. De kwetsbaarheid treft versies van ci4-cms-erp/ci4ms tot en met 0.28.6.0. Een fix is beschikbaar in versie 0.31.0.0.
Een succesvolle exploitatie van CVE-2026-34560 stelt een aanvaller in staat om kwaadaardige JavaScript-code uit te voeren in de context van een beheerder. Omdat het een Blind XSS is, is de directe uitvoering niet zichtbaar voor de aanvaller, maar de payload wordt opgeslagen in de applicatielogs en uitgevoerd wanneer een beheerder deze logs bekijkt. Dit kan leiden tot accountovername, gegevensdiefstal, en verdere toegang tot het systeem. De blast radius is aanzienlijk, aangezien een beheerder vaak toegang heeft tot gevoelige data en kritieke functionaliteit. Het is vergelijkbaar met andere XSS-aanvallen, maar de 'blind' aard maakt detectie lastiger, omdat de impact niet direct zichtbaar is.
CVE-2026-34560 is gepubliceerd op 2026-04-01. De CVSS score is 9.1 (CRITICAL), wat wijst op een hoog risico. Er is momenteel geen informatie beschikbaar over actieve campagnes of publicatie van Proof-of-Concept (POC) code. De kwetsbaarheid is niet opgenomen in KEV of EPSS, maar de kritieke score suggereert een potentieel voor snelle exploitatie zodra er een POC beschikbaar komt. Raadpleeg de NVD (National Vulnerability Database) voor updates.
Organizations using ci4-cms-erp/ci4ms in administrative roles are at significant risk. Specifically, those relying on the application's logging features for auditing or troubleshooting are particularly vulnerable. Shared hosting environments where multiple users have access to the same application instance are also at increased risk, as a compromised user could potentially exploit the vulnerability to gain access to other users' accounts.
• php: Examine application logs for unusual JavaScript code or encoded characters that could indicate an XSS payload. Use grep to search for patterns like <script> or onerror=.
grep -r '<script' /path/to/ci4ms/logs/*• generic web: Monitor access logs for requests containing suspicious URL parameters or POST data that might be used to inject XSS payloads. Look for unusual user agent strings or referrer headers.
curl -I 'https://your-ci4ms-site.com/logs?param=<script>' # Check response headers for XSS indicatorsdisclosure
patch
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
Om de impact van CVE-2026-34560 te verminderen, is het essentieel om zo snel mogelijk te upgraden naar versie 0.31.0.0 of hoger. Indien een directe upgrade niet mogelijk is, kan een Web Application Firewall (WAF) worden geconfigureerd om verdachte loggegevens te filteren en te blokkeren. Zoek naar patronen die wijzen op XSS-payloads in de logbestanden. Implementeer strikte inputvalidatie en output encoding op alle plekken waar gebruikersgegevens worden weergegeven. Na de upgrade, controleer de logs interface om te bevestigen dat de kwetsbaarheid is verholpen en dat er geen ongecodeerde loggegevens worden weergegeven.
Actualice CI4MS a la versión 0.31.0.0 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en la interfaz de registros, evitando la ejecución de código malicioso al visualizar los logs.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-34560 is a CRITICAL stored DOM blind XSS vulnerability in ci4-cms-erp/ci4ms, allowing attackers to inject malicious scripts via unsafely rendered log data, potentially leading to administrative context execution.
You are affected if you are using ci4-cms-erp/ci4ms versions ≤0.28.6.0. Upgrade to 0.31.0.0 to mitigate the risk.
Upgrade to version 0.31.0.0 or later of ci4-cms-erp/ci4ms. Implement input validation and output encoding as temporary workarounds.
There are currently no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate attention and mitigation.
Refer to the ci4-cms-erp project's official advisory channels for the most up-to-date information and security announcements.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.