Plataforma
php
Componente
ci4-cms-erp/ci4ms
Corrigido em
0.31.5
0.31.4.0
CVE-2026-39390 is a cross-site scripting (XSS) vulnerability affecting CI4MS CMS ERP versions up to 0.31.3.0. An attacker can exploit this flaw to inject malicious scripts into web pages viewed by other users, potentially leading to session hijacking or defacement. The vulnerability stems from insufficient sanitization of the srcdoc attribute within the Google Maps iframe configuration. A patch is available in version 0.31.4.0.
A vulnerabilidade CVE-2026-39390 no ci4ms permite que um atacante com acesso de administrador injete código malicioso através da configuração do iframe do Google Maps. Especificamente, o campo cMap não valida corretamente o atributo srcdoc, permitindo a injeção de JavaScript codificado em HTML entities. Este código é executado no contexto da página principal quando exibido para visitantes do frontend não autenticados. O risco reside na possibilidade de roubo de informações confidenciais, manipulação da interface do usuário ou redirecionamento para sites maliciosos, comprometendo a segurança e a integridade da aplicação.
Um atacante com acesso administrativo pode explorar esta vulnerabilidade injetando um iframe com um srcdoc que contém JavaScript codificado em HTML entities. Este JavaScript será executado no navegador do usuário final, permitindo que o atacante realize ações como roubar cookies, modificar o conteúdo da página ou redirecionar o usuário para um site malicioso. A falta de autenticação no frontend torna qualquer visitante uma vítima potencial desta exploração.
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
Para mitigar esta vulnerabilidade, recomenda-se atualizar o ci4ms para a versão 0.31.4.0 ou superior. Esta versão inclui uma correção que valida adequadamente o atributo srcdoc na configuração do iframe do Google Maps. Além disso, recomenda-se rever e auditar todas as configurações relacionadas à integração do Google Maps para garantir que nenhum vetor de ataque adicional seja introduzido. Implementar uma política de privilégios mínimos para os administradores também pode ajudar a limitar o impacto no caso de uma conta ser comprometida.
Actualice CI4MS a la versión 0.31.4 o superior para mitigar la vulnerabilidad de XSS. Esta versión corrige el problema al sanitizar correctamente el atributo srcdoc en la configuración de Google Maps, evitando la ejecución de código malicioso.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma forma de representar caracteres especiais em HTML usando códigos numéricos ou símbolos, permitindo evitar algumas validações de segurança.
Significa conceder aos usuários apenas as permissões necessárias para realizar suas tarefas, limitando o dano potencial em caso de um ataque.
Se não puder atualizar imediatamente, considere desativar temporariamente a funcionalidade do Google Maps ou implementar uma validação mais rigorosa do atributo srcdoc no código-fonte.
Verifique a versão do ci4ms que está usando. Se for anterior a 0.31.4.0, é vulnerável. Você também pode realizar testes de penetração para identificar possíveis vulnerabilidades.
Existem scanners de vulnerabilidade que podem detectar esta e outras vulnerabilidades semelhantes. Consulte sua equipe de segurança para identificar as ferramentas adequadas.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.