Plataforma
php
Componente
ci4-cms-erp/ci4ms
Corrigido em
0.31.1
0.31.0.0
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi descoberta no componente ci4-cms-erp/ci4ms, afetando versões até 0.28.6.0. Essa falha permite que atacantes injetem payloads JavaScript maliciosos através do gerenciamento de métodos, que são armazenados no servidor sem sanitização adequada. A execução desses payloads ocorre automaticamente em todas as páginas onde o método é renderizado, representando um risco significativo para a integridade e confidencialidade dos dados.
A vulnerabilidade XSS armazenada em ci4-cms-erp/ci4ms permite que um atacante execute código JavaScript arbitrário no navegador de qualquer usuário que acesse uma página afetada. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, defacement do site e, potencialmente, acesso não autorizado a dados sensíveis. Dada a natureza persistente do payload, a exploração pode afetar um grande número de usuários e comprometer a segurança geral da aplicação. A execução automática em todas as páginas onde o método é renderizado amplia significativamente o escopo do ataque, tornando-o particularmente perigoso.
A vulnerabilidade CVE-2026-34558 foi divulgada em 2026-04-01. Não há informações disponíveis sobre a inclusão em KEV ou a existência de exploits públicos. Dada a gravidade da vulnerabilidade (CVSS 9.1) e a facilidade potencial de exploração, é recomendável priorizar a correção.
Organizations utilizing ci4-cms-erp/ci4ms in production environments, particularly those with custom methods or pages built using the platform, are at significant risk. Shared hosting environments where multiple applications share the same server resources are also at increased risk, as a compromise of one application could potentially lead to the compromise of others.
• php: Examine application logs for unusual JavaScript execution patterns or attempts to create/modify methods with suspicious characters.
grep -i 'javascript:|alert|prompt' /var/log/apache2/error.log• generic web: Inspect HTTP requests to the Methods Management endpoint for suspicious parameters or payloads.
curl -v 'https://your-ci4ms-instance/methods/create?name=<script>alert(1)</script>' • generic web: Review the application's source code, particularly the Methods Management functionality, for instances of unsanitized user input.
disclosure
Status do Exploit
EPSS
0.05% (percentil 16%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-34558 é atualizar o componente ci4-cms-erp/ci4ms para a versão 0.31.0.0 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a validação e sanitização rigorosas de todas as entradas de usuário no gerenciamento de métodos. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns também pode ajudar a mitigar o risco. Monitore os logs de acesso e erro em busca de padrões suspeitos de injeção de código.
Atualize CI4MS para a versão 0.31.0.0 ou superior. Esta versão corrige as vulnerabilidades de Cross-Site Scripting (XSS) armazenadas na funcionalidade de gerenciamento de métodos, evitando a execução de código JavaScript malicioso no navegador dos administradores.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34558 is a critical stored DOM XSS vulnerability in ci4-cms-erp/ci4ms, allowing attackers to inject malicious JavaScript via method management inputs.
Yes, if you are using ci4-cms-erp/ci4ms versions prior to 0.31.0.0, you are vulnerable to this XSS attack.
Upgrade to version 0.31.0.0 or later to remediate the vulnerability. Implement input validation and output encoding as a temporary workaround.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest it is likely to become a target.
Refer to the official ci4-cms-erp project repository or website for the latest security advisories and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.