Platform
php
Component
ci4-cms-erp/ci4ms
Opgelost in
0.31.1
0.31.0.0
CVE-2026-34569 is een Cross-Site Scripting (XSS) kwetsbaarheid in ci4ms. Door het ontbreken van sanitatie bij het aanmaken of bewerken van blogcategorieën, kan een aanvaller kwaadaardige JavaScript-code injecteren in het titelveld. Deze code wordt opgeslagen en later onveilig weergegeven op verschillende pagina's, wat leidt tot XSS. De kwetsbaarheid treft ci4ms versies lager dan 0.31.0.0. De kwetsbaarheid is verholpen in versie 0.31.0.0.
CVE-2026-34569 in ci4ms introduceert een persistente Cross-Site Scripting (XSS)-kwetsbaarheid. Een aanvaller kan kwaadaardige JavaScript-code injecteren in de blogcategorie titel tijdens het aanmaken of bewerken. Deze code wordt opgeslagen in de database en uitgevoerd in de browser van elke gebruiker die de categoriepagina bezoekt. De CVSS-score van 9.9 duidt op kritieke ernst, wat betekent dat succesvolle exploitatie kan leiden tot willekeurige code-uitvoering in de context van de gebruiker, waardoor de aanvaller cookies kan stelen, gebruikers naar kwaadaardige sites kan omleiden of acties namens de gebruiker kan uitvoeren. De hoofdoorzaak is het ontbreken van de juiste validatie en sanitatie van gebruikersinvoer in het veld van de categorietitel. Deze kwetsbaarheid treft versies vóór 0.31.0.0 van ci4ms.
Een aanvaller zou deze kwetsbaarheid kunnen exploiteren door een blogcategorie te maken met een titel die kwaadaardige JavaScript-code bevat. Deze code wordt opgeslagen in de database en weergegeven aan alle gebruikers die de pagina van die categorie bezoeken. De aanvaller zou deze code kunnen gebruiken om gevoelige informatie te stelen, zoals sessiecookies, of gebruikers om te leiden naar kwaadaardige websites. De persistente aard van de aanval betekent dat de kwaadaardige code op het systeem blijft totdat de categorie wordt verwijderd of de applicatie wordt bijgewerkt. De hoge CVSS-score duidt erop dat exploitatie relatief eenvoudig is en de potentiële impact aanzienlijk.
Organizations utilizing ci4-cms-erp/ci4ms in their content management systems, particularly those with publicly accessible blog features, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromised blog on one site could potentially impact other sites on the same server. Legacy configurations with outdated security practices are also vulnerable.
• php: Examine blog category titles in the database for suspicious JavaScript code. Use grep to search for <script> tags or other common XSS payloads within the category title fields.
grep '<script>' /path/to/database/blog_categories.sql• generic web: Monitor web server access logs for requests to blog category pages containing unusual URL parameters or POST data that might indicate an attempted XSS attack.
curl -s 'https://example.com/blog/category/malicious-title' > /dev/null 2>&1• generic web: Check response headers for signs of JavaScript execution or redirection to unexpected domains.
curl -I https://example.com/blog/category/malicious-titledisclosure
patch
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-34569 is het upgraden naar versie 0.31.0.0 of hoger van ci4ms. Deze versie bevat fixes om gebruikersinvoer in de blogcategorie titel correct te sanitiseren, waardoor de injectie van kwaadaardige JavaScript-code wordt voorkomen. Daarnaast wordt een uitgebreid beveiligingsaudit van de codebasis aanbevolen om andere potentiële XSS-kwetsbaarheden te identificeren en te verhelpen. Het implementeren van een Content Security Policy (CSP) kan helpen de impact van een XSS-aanval te verzachten, zelfs als de applicatie kwetsbaar is. Ten slotte is het cruciaal om ontwikkelaars op te leiden over veilige codeerbest practices om toekomstige XSS-kwetsbaarheden te voorkomen.
Actualice CI4MS a la versión 0.31.0.0 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS) almacenado en las categorías de blogs. La actualización evitará la ejecución de código JavaScript malicioso inyectado en el título de las categorías.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is een type beveiligingskwetsbaarheid waarmee aanvallers kwaadaardige scripts in webpagina's kunnen injecteren die door andere gebruikers worden bekeken.
De kwetsbaarheid heeft een CVSS-score van 9.9, wat een kritieke ernst aangeeft. Dit betekent dat een aanvaller mogelijk de controle over een gebruikersaccount kan overnemen of gevoelige informatie kan stelen.
Als u een versie van ci4ms gebruikt vóór 0.31.0.0, is uw applicatie kwetsbaar. Voer een beveiligingsaudit uit om dit te bevestigen.
Wijzig onmiddellijk de wachtwoorden van alle gebruikers en voer een uitgebreide beveiligingsaudit uit om eventuele schade te identificeren en te herstellen.
Het implementeren van een Content Security Policy (CSP) kan helpen de impact van een XSS-aanval te verzachten, hoewel het geen complete oplossing is.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.