Plataforma
php
Componente
ci4-cms-erp/ci4ms
Corrigido em
0.31.5
0.31.4.0
CVE-2026-39394 is a remote code execution (RCE) vulnerability affecting the ci4-cms-erp/ci4ms CMS ERP system. This vulnerability allows attackers to inject arbitrary configuration directives into the .env file, potentially granting them control over the application. The vulnerability impacts versions of ci4-cms-erp/ci4ms up to and including 0.31.3.0, and a fix is available in version 0.31.4.0.
A vulnerabilidade CVE-2026-39394 no ci4ms permite que um atacante injete configurações arbitrárias no arquivo .env durante o processo de instalação. O controlador Install::index() recebe o parâmetro POST host sem validação e o passa diretamente para updateEnvSettings(). Esta função utiliza preg_replace() para escrever o valor no arquivo .env. A falta de sanitização de caracteres de nova linha permite que um atacante insira comandos ou configurações maliciosas que serão executadas posteriormente. A ausência de proteção CSRF nas rotas de instalação, combinada com a possibilidade de contornar o InstallFilter quando cache('settings') está vazio, facilita a exploração desta vulnerabilidade. Isso pode dar ao atacante controle sobre a configuração do aplicativo, comprometendo a segurança e a confidencialidade dos dados.
Um atacante pode explorar esta vulnerabilidade enviando uma solicitação POST para a rota de instalação com um parâmetro host que contenha caracteres de nova linha e comandos maliciosos. Devido à falta de proteção CSRF nas rotas de instalação, um atacante pode fazer esta solicitação sem a necessidade de autenticação. Se o cache de configuração estiver vazio, o InstallFilter pode ser contornado, facilitando ainda mais a exploração. A vulnerabilidade é particularmente grave porque o arquivo .env contém informações sensíveis, como chaves de API e credenciais de banco de dados, que podem ser comprometidas.
Organizations using ci4-cms-erp/ci4ms in production environments, particularly those with exposed installation routes or those running older, unpatched versions (≤0.31.3.0), are at significant risk. Shared hosting environments where multiple users share the same server and .env file are especially vulnerable.
• php: Examine web server access logs for POST requests to the /install/index endpoint with unusual or excessively long host parameters.
• php: Monitor the .env file for unexpected modifications, particularly lines containing configuration directives that were not previously present.
• generic web: Use curl to test the /install/index endpoint with a host parameter containing newline characters and observe the resulting .env file changes.
curl -X POST -d "host=test\nnew_setting=value" http://your-ci4ms-site.com/install/indexdisclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar para a versão 0.31.4.0 do ci4ms. Esta versão corrige a vulnerabilidade ao validar e sanear o parâmetro host antes de escrevê-lo no arquivo .env. Além disso, recomenda-se revisar e fortalecer a configuração de segurança do aplicativo, incluindo a implementação de medidas de proteção CSRF em todas as rotas relevantes e garantir que o cache de configuração seja gerenciado corretamente. Deve-se implementar uma validação robusta de todas as entradas do usuário para prevenir futuras injeções. Auditorias regulares do código devem ser realizadas para identificar vulnerabilidades semelhantes e aplicar patches de segurança prontamente.
Actualice a la versión 0.31.4 o superior para mitigar la vulnerabilidad. Esta versión corrige la falta de validación del parámetro 'host' en el controlador Install, evitando la inyección de configuraciones arbitrarias en el archivo .env.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
O arquivo .env é um arquivo de configuração que armazena informações sensíveis, como chaves de API e credenciais de banco de dados, fora do código-fonte do aplicativo.
A versão 0.31.4.0 corrige a vulnerabilidade CVE-2026-39394, que permite que um atacante injete configurações maliciosas no arquivo .env.
Se não puder atualizar imediatamente, implemente medidas de mitigação temporárias, como restringir o acesso à rota de instalação e monitorar o arquivo .env em busca de alterações não autorizadas.
Implemente uma validação robusta de todas as entradas do usuário, revise e fortaleça a configuração de segurança do aplicativo e aplique patches de segurança prontamente.
Você pode encontrar mais informações sobre esta vulnerabilidade na base de dados de vulnerabilidades CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-39394
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.