CI4MS: Apropriação Total de Conta para Todas as Funções e Escalonamento de Privilégios na Gestão de Backups via XSS Cego DOM Armazenado
Plataforma
php
Componente
ci4-cms-erp/ci4ms
Corrigido em
0.31.1
0.31.0.0
CVE-2026-34563 é uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no CI4MS. A falha permite que um atacante injete código JavaScript malicioso através do nome de arquivo de backup durante o upload, explorando funcionalidades SQL para persistir o payload XSS no servidor. Este payload é então renderizado de forma insegura em várias views de gerenciamento de backup, sem a devida codificação de saída. A vulnerabilidade afeta versões anteriores à 0.31.0.0 e foi corrigida na versão 0.31.0.0.
Impacto e Cenários de Ataque
A vulnerabilidade CVE-2026-34563 no ci4ms permite um ataque de XSS persistente e cego através da gestão de backups. Um atacante pode injetar código JavaScript malicioso no nome do arquivo de backup, explorando a falta de sanitização adequada da entrada do usuário. O arquivo xss.sql é utilizado para inserir o payload, e embora o XSS seja cego (não é executado imediatamente no navegador do usuário), permite ao atacante rastrear as interações do usuário através de requisições do lado do servidor, potencialmente extraindo informações sensíveis ou realizando ações em nome do usuário. A severidade CVSS é de 9.1, indicando um risco crítico. Versões anteriores a 0.31.0.0 são afetadas. Este tipo de ataque pode ser difícil de detectar, pois não há execução visível de JavaScript no navegador.
Contexto de Exploração
Um atacante pode explorar esta vulnerabilidade carregando um arquivo de backup malicioso (por exemplo, xss.sql) com um nome de arquivo cuidadosamente elaborado que contenha código JavaScript. Este código será armazenado no banco de dados e, quando o nome do arquivo de backup for processado, o código JavaScript será executado no servidor, permitindo ao atacante rastrear as interações do usuário. A exploração requer acesso à funcionalidade de upload de backups da aplicação, que pode estar disponível através de uma interface web ou API. A natureza cega do XSS torna a detecção mais desafiadora, pois não há uma indicação visual direta da execução do código.
Inteligência de Ameaças
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Alterado — o ataque pode pivotar para além do componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Baixo — o atacante pode modificar alguns dados com alcance limitado.
- Availability
- Baixo — negação de serviço parcial ou intermitente.
Software Afetado
Informações do pacote
- Última atualização
- 0.31.10.0recentemente
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação principal para CVE-2026-34563 é atualizar o ci4ms para a versão 0.31.0.0 ou posterior. Esta versão inclui uma correção que sanitiza corretamente o nome do arquivo de backup, prevenindo a injeção de código malicioso. Além disso, recomenda-se implementar políticas de segurança de conteúdo (CSP) para mitigar o impacto de possíveis ataques XSS, mesmo após a aplicação ser atualizada. Auditar regularmente o código fonte em busca de vulnerabilidades de injeção e realizar testes de penetração periódicos são práticas recomendadas para manter a segurança da aplicação.
Como corrigirtraduzindo…
Actualice CI4MS a la versión 0.31.0.0 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS) almacenada en la gestión de copias de seguridad, evitando la inyección de código JavaScript malicioso a través de nombres de archivos de copia de seguridad.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentes
O que é CVE-2026-34563 — Cross-Site Scripting (XSS) em ci4-cms-erp/ci4ms?
Um XSS cego não exibe diretamente o código malicioso no navegador do usuário. Em vez disso, o código é executado no servidor e é utilizado para rastrear as ações do usuário através de requisições do lado do servidor.
Estou afetado pelo CVE-2026-34563 no ci4-cms-erp/ci4ms?
A versão 0.31.0.0 inclui uma correção específica para esta vulnerabilidade, eliminando a possibilidade de injeção de código malicioso nos nomes de arquivo de backups.
Como corrijo o CVE-2026-34563 no ci4-cms-erp/ci4ms?
CSP são um conjunto de regras que o navegador utiliza para determinar quais recursos uma página web pode carregar, ajudando a prevenir ataques XSS.
O CVE-2026-34563 está sendo explorado ativamente?
Se você estiver usando uma versão anterior a 0.31.0.0, é provável que seja vulnerável. Realizar testes de penetração pode ajudar a confirmar a vulnerabilidade.
Onde encontro o aviso oficial do ci4-cms-erp/ci4ms para o CVE-2026-34563?
Isole o sistema afetado, investigue a violação de segurança, atualize para a versão mais recente do ci4ms e considere realizar uma auditoria de segurança completa.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.