Plataforma
php
Componente
ci4-cms-erp/ci4ms
Corrigido em
0.31.1
0.31.0.0
A vulnerabilidade CVE-2026-34571 é um Cross-Site Scripting (XSS) armazenado no CI4MS versões anteriores a 0.31.0.0, na funcionalidade de gestão de usuários no backend. A aplicação não sanitiza corretamente a entrada do usuário, permitindo a injeção de código JavaScript persistente. A vulnerabilidade foi corrigida na versão 0.31.0.0.
A vulnerabilidade CVE-2026-34571 no ci4ms representa um risco crítico devido à presença de um Cross-Site Scripting (XSS) armazenado na funcionalidade de gerenciamento de usuários do backend. O aplicativo não sanitiza adequadamente a entrada controlada pelo usuário antes de renderizá-la na interface administrativa, permitindo que atacantes injetem código JavaScript persistente. Este código é executado automaticamente sempre que usuários do backend acessam a página afetada, levando a um potencial roubo de sessões, escalada de privilégios e comprometimento completo das contas administrativas. A pontuação CVSS de 9.9 sublinha a gravidade deste problema, exigindo atenção imediata.
Um atacante pode explorar esta vulnerabilidade injetando código JavaScript malicioso em campos de entrada de usuário dentro da interface administrativa do ci4ms. Este código pode ser projetado para roubar cookies de sessão, redirecionar usuários para sites maliciosos ou executar ações em nome de um administrador. A persistência do código XSS significa que a vulnerabilidade permanecerá ativa até que a atualização seja aplicada, impactando todos os usuários do backend que acessam a página comprometida. A falta de validação adequada da entrada do usuário é a causa principal desta vulnerabilidade.
Organizations using ci4-cms-erp/ci4ms in their backend systems, particularly those with administrative access to the user management functionality, are at risk. Shared hosting environments where multiple users share the same instance of ci4-cms-erp/ci4ms are especially vulnerable, as a compromise of one user could lead to the compromise of others.
• php: Examine backend user management logs for suspicious JavaScript injection attempts. Search for unusual characters or patterns in user input fields.
• generic web: Use curl to test the user creation endpoint with various payloads containing <script> tags. Monitor response headers for signs of XSS.
curl -X POST -d 'username=<script>alert("XSS")</script>' https://your-ci4ms-instance/backend/us• generic web: Review access and error logs for requests containing XSS payloads. Look for patterns indicative of attempted injection. • generic web: Use browser developer tools to monitor for JavaScript execution originating from unexpected sources.
disclosure
Status do Exploit
EPSS
0.05% (percentil 17%)
CISA SSVC
Vetor CVSS
A mitigação recomendada para CVE-2026-34571 é atualizar o ci4ms para a versão 0.31.0.0 ou superior. Esta versão inclui as correções necessárias para sanitizar adequadamente a entrada do usuário e prevenir a injeção de código malicioso. Enquanto isso, restrinja o acesso à interface administrativa apenas a usuários autorizados e monitore ativamente os logs do sistema em busca de atividades suspeitas. Implementar uma política de segurança de senhas robusta e habilitar a autenticação de dois fatores (2FA) pode fornecer uma camada adicional de proteção contra acesso não autorizado. Auditorias de segurança regulares podem ajudar a identificar e remediar vulnerabilidades semelhantes no futuro.
Actualice CI4MS a la versión 0.31.0.0 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en la gestión de usuarios del backend.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança que permite que atacantes injetem scripts maliciosos em páginas da web visualizadas por outros usuários.
A vulnerabilidade é crítica porque permite que os atacantes comprometam contas administrativas, o que pode dar-lhes acesso completo ao sistema.
Restrinja o acesso à interface administrativa e monitore os logs do sistema em busca de atividades suspeitas.
Existem várias ferramentas de verificação de segurança da web que podem ajudar a identificar vulnerabilidades XSS.
Use senhas fortes e exclusivas e habilite a autenticação de dois fatores (2FA) sempre que possível.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.