Plataforma
php
Componente
ci4-cms-erp/ci4ms
Corrigido em
0.31.5
0.31.4.0
CVE-2026-39392 describes a cross-site scripting (XSS) vulnerability in the ci4-cms-erp/ci4ms CMS ERP system. This flaw allows an authenticated administrator with page-editing privileges to inject malicious JavaScript code that executes in the browsers of all public visitors to the affected pages. The vulnerability impacts versions of ci4-cms-erp/ci4ms up to and including 0.31.3.0, and a fix is available in version 0.31.4.0.
A vulnerabilidade CVE-2026-39392 no ci4ms permite que um administrador autenticado com privilégios de edição de página injete código JavaScript arbitrário em páginas web. Isso ocorre porque o módulo Pages não aplica a regra de validação html_purify aos campos de conteúdo durante as operações de criação e atualização, ao contrário do módulo Blog. O conteúdo da página é armazenado não sanitizado no banco de dados e renderizado como HTML bruto no frontend público através de echo $pageInfo->content. Um atacante pode explorar essa falha para executar código malicioso no navegador de qualquer visitante que acesse a página comprometida, o que pode resultar em roubo de informações confidenciais, redirecionamentos maliciosos ou manipulação da aparência do site.
Um atacante com acesso de administrador à edição de páginas pode criar ou modificar uma página e adicionar código JavaScript malicioso no campo de conteúdo. Como o conteúdo não é sanitizado, este código será armazenado no banco de dados e exibido diretamente no frontend. Quando um usuário visita a página, o código JavaScript é executado no navegador, permitindo que o atacante realize ações maliciosas. A falta de validação adequada torna esta vulnerabilidade relativamente fácil de explorar.
Organizations using ci4-cms-erp/ci4ms for their ERP and CMS needs, particularly those with public-facing pages managed through the Pages module, are at risk. Shared hosting environments where multiple users have administrative access to the CMS are also particularly vulnerable, as a compromised administrator account could impact all hosted sites.
• wordpress / composer / npm:
grep -r 'echo $pageInfo->content' /path/to/ci4ms/modules/Pages/Controllers/• generic web:
curl -I <affected_page_url> | grep -i content-type• generic web:
Inspect page source code for unsanitized HTML content within the $pageInfo->content variable.
disclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
A principal mitigação para CVE-2026-39392 é atualizar o ci4ms para a versão 0.31.4.0 ou superior. Esta versão corrige a vulnerabilidade aplicando a validação html_purify ao conteúdo das páginas. Enquanto isso, como medida temporária, recomenda-se desabilitar a edição de páginas para usuários não confiáveis ou implementar um firewall de aplicação web (WAF) que possa detectar e bloquear tentativas de injeção de JavaScript. É crucial revisar e auditar todas as permissões de usuário para garantir que apenas administradores de confiança tenham acesso à edição de páginas.
Actualice el módulo Pages a la versión 0.31.4 o superior para mitigar la vulnerabilidad de XSS. Esta versión implementa la validación html_purify en los campos de contenido, previniendo la inyección de código malicioso.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma biblioteca PHP usada para limpar e validar código HTML, removendo tags e atributos potencialmente perigosos.
Esta versão inclui a correção para a vulnerabilidade, aplicando a validação html_purify ao conteúdo das páginas, prevenindo a injeção de JavaScript.
Desabilitar a edição de páginas para usuários não confiáveis e considerar a implementação de um WAF são medidas temporárias.
Se você estiver usando uma versão anterior a 0.31.4.0 do ci4ms e permitir a edição de páginas para usuários não confiáveis, é provável que você seja vulnerável.
É importante revisar a documentação do ci4ms e os alertas de segurança para estar ciente de quaisquer outras vulnerabilidades potenciais.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.