Platform
php
Component
ci4-cms-erp/ci4ms
Opgelost in
0.31.1
0.31.0.0
CVE-2026-34565 is een cross-site scripting (XSS) kwetsbaarheid in CI4MS, een CodeIgniter 4-gebaseerd CMS-skelet. Deze kwetsbaarheid ontstaat door een gebrek aan adequate sanitatie van gebruikersinvoer bij het toevoegen van Posts aan navigatiemenu's, waardoor kwaadaardige scripts kunnen worden uitgevoerd. De kwetsbaarheid treft versies van CI4MS tot en met 0.31.0.0. Een patch is beschikbaar in versie 0.31.0.0.
CVE-2026-34565 heeft invloed op de ci4ms applicatie, specifiek de menu-beheer functionaliteit. De kwetsbaarheid is een Stored DOM XSS die het mogelijk maakt om persistente payloads te injecteren door post-items toe te voegen aan navigatiemenus. Een aanvaller kan kwaadaardige JavaScript-code injecteren in een post-gerelateerd data veld, dat server-side wordt opgeslagen en gerenderd op de menu-pagina zonder de juiste output encoding. Dit maakt de uitvoering van willekeurige code mogelijk in de browser van elke gebruiker die de menu-pagina bezoekt, wat kan leiden tot diefstal van cookies, kwaadaardige redirects of wijziging van de website. De CVSS ernstscore is 9.1, wat een kritiek risico aangeeft.
De kwetsbaarheid wordt uitgebuit door een post toe te voegen aan een navigatiemenu. De aanvaller injecteert kwaadaardige JavaScript-code in de titel, beschrijving of een ander tekstveld van de post. Deze code wordt opgeslagen in de database en gerenderd op de menu-pagina. Wanneer een gebruiker de menu-pagina bezoekt, wordt de geïnjecteerde JavaScript-code in zijn browser uitgevoerd. De aanvaller kan deze kwetsbaarheid gebruiken om gevoelige informatie te stelen, zoals sessiecookies, of gebruikers om te leiden naar kwaadaardige websites. De persistentie van de payload betekent dat de kwetsbaarheid actief blijft totdat de fix is toegepast.
Organizations using ci4-cms-erp/ci4ms for their ERP and CMS needs, particularly those relying on the menu management functionality for navigation or administrative access, are at risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Legacy configurations with outdated security practices are also at increased risk.
• wordpress / composer / npm:
grep -r '<script>' /var/www/ci4ms/application/controllers/Admin/Menu.php
grep -r '->view()' /var/www/ci4ms/application/views/*• generic web:
curl -I http://your-ci4ms-site.com/admin/menu/add_post | grep -i 'x-xss-protection'• generic web:
Inspect the HTML source code of the menu pages for any unexpected <script> tags or JavaScript code.
disclosure
patch
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-34565 is om de ci4ms applicatie te updaten naar versie 0.31.0.0 of hoger. Deze versie bevat een fix die de juiste output encoding implementeert voor post-data wanneer deze wordt gerenderd op de menu-pagina. Daarnaast wordt een beveiligingsaudit van de code aanbevolen om eventuele vergelijkbare kwetsbaarheden in andere delen van de applicatie te identificeren en te verhelpen. Het is cruciaal om veilige codeerpraktijken te implementeren, zoals het valideren en sanitiseren van alle gebruikersinvoer, om toekomstige XSS-aanvallen te voorkomen. Controleer en update het beveiligingsbeleid van de applicatie om bescherming tegen dit type kwetsbaarheid te garanderen.
Actualice CI4MS a la versión 0.31.0.0 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en la gestión de menús.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een type XSS-kwetsbaarheid waarbij kwaadaardige code wordt opgeslagen in de database van de applicatie en elke keer wordt uitgevoerd wanneer een gebruiker de pagina bezoekt die de opgeslagen inhoud weergeeft.
CVSS (Common Vulnerability Scoring System) is een standaard voor het beoordelen van de ernst van kwetsbaarheden. Een score van 9.1 duidt op een kritisch risico.
Als u niet onmiddellijk kunt updaten, overweeg dan tijdelijke mitigatiemaatregelen te implementeren, zoals strenge validatie van gebruikersinvoer en het gebruik van Content Security Policy (CSP).
Probeer een post toe te voegen aan een navigatiemenu en injecteer een eenvoudige XSS-payload (bijvoorbeeld <script>alert('XSS')</script>). Als een alert wordt weergegeven, is uw applicatie kwetsbaar.
Ja, er zijn verschillende vulnerability scanning tools die u kunnen helpen bij het identificeren van XSS-kwetsbaarheden, zowel geautomatiseerd als handmatig.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.