免费扫描
MEDIUMCVE-2026-39389CVSS 6.7

CI4MS 在文件编辑器中的隐藏项目授权绕过漏洞允许读取密钥和写入受保护的文件

平台

codeigniter

组件

ci4ms

修复版本

0.31.5

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月
在NVD查看
保存

CI4MS 是一个基于 CodeIgniter 4 的 CMS 骨架,提供生产就绪、模块化架构,具有 RBAC 授权和主题支持。在 0.31.4.0 版本之前,CI4MS 存在代码执行漏洞,攻击者可能利用此漏洞在系统上执行恶意代码。此漏洞影响 CI4MS 0.0.0 到 0.31.4.0 版本。0.31.4 版本已经修复了此问题。

影响与攻击场景

CI4MS(基于 CodeIgniter 4 的 CMS)中的 CVE-2026-39389 漏洞影响到 0.31.4.0 之前的版本。虽然漏洞的具体细节在摘要中没有提供,但 CVSS 分数 6.7 表明存在中等风险。这表明攻击者可能能够利用此漏洞来破坏 CI4MS 系统的机密性、完整性或可用性。影响可能因 CMS 的特定配置和处理的数据而异。为了减轻这种风险,必须升级到 0.31.4.0 版本。由于缺乏有关漏洞的详细信息,因此将更新作为预防措施应用至关重要。

利用背景

由于缺乏有关漏洞的详细信息,因此 CVE-2026-39389 的利用环境尚不完全清楚。但是,由于 CI4MS 是一个 CMS,因此很可能该漏洞与数据管理、用户身份验证或代码执行有关。攻击者可能会尝试通过恶意 HTTP 请求、代码注入或参数操作来利用该漏洞。利用的复杂性将取决于漏洞的具体性质以及系统中实施的安全措施。建议进行渗透测试以识别潜在的攻击向量并加强 CMS 的安全性。

哪些人处于风险中翻译中…

Organizations and individuals using CI4MS CMS versions 0.0.0 through 0.31.3.0 are at risk. This includes websites and applications built on the CI4MS framework, particularly those with publicly accessible admin panels or vulnerable configurations. Shared hosting environments running CI4MS are also at increased risk due to potential cross-site contamination.

检测步骤翻译中…

• codeigniter / server:

find /var/www/ci4ms -type f -name '*.php' -print0 | xargs -0 grep -i 'system/index.php'

• generic web:

curl -I https://your-ci4ms-site.com/ | grep Server

• wordpress / composer / npm: N/A • database (mysql, redis, mongodb, postgresql): N/A • windows / supply-chain: N/A • linux / server: Monitor system logs (e.g., /var/log/apache2/error.log) for unusual PHP errors or requests related to CI4MS.

攻击时间线

  1. Disclosure

    disclosure

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

EPSS

0.02% (4% 百分位)

CISA SSVC

利用情况poc
可自动化no
技术影响total

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:L6.7MEDIUMAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredHigh攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityHigh数据未授权篡改风险AvailabilityLow服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
高 — 需要管理员或特权账户。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
高 — 攻击者可写入、修改或删除任何数据。
Availability
低 — 部分或间歇性拒绝服务。

受影响的软件

组件ci4ms
供应商ci4-cms-erp
影响范围修复版本
< 0.31.4.0 – < 0.31.4.00.31.5

弱点分类 (CWE)

CWE-285

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期
  4. EPSS 更新日期

缓解措施和替代方案

CVE-2026-39389 的解决方案是将 CI4MS 升级到 0.31.4.0 或更高版本。此更新包含解决漏洞所需的修复程序。在应用更新之前,建议对网站进行完整备份,以便在出现问题时能够恢复系统。升级后,建议检查 CMS 的所有功能是否继续正常工作。如果使用第三方扩展或插件,请务必检查其与 CI4MS 新版本的兼容性,并在必要时进行更新。监控服务器日志还可以帮助检测升级后的任何可疑活动。

修复方法翻译中…

Actualice CI4MS a la versión 0.31.4 o superior para corregir la vulnerabilidad de bypass de autorización de elementos ocultos. Esta actualización aborda la posibilidad de leer secretos y escribir en archivos protegidos a través del Fileeditor.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-39389 是什么 — CI4MS 中的漏洞?

CI4MS 是一种基于 CodeIgniter 4 的 CMS(内容管理系统),旨在为构建网站和 Web 应用程序提供坚实的基础。

CI4MS 中的 CVE-2026-39389 是否会影响我?

版本 0.31.4.0 修复了 CVE-2026-39389 漏洞,攻击者可能会利用该漏洞破坏您的系统。

如何修复 CI4MS 中的 CVE-2026-39389?

在应用更新之前,对您的网站进行完整备份。

CVE-2026-39389 是否正在被积极利用?

您可以在 CI4MS 的官方存储库或其网站上下载 0.31.4.0 版本。

在哪里可以找到 CI4MS 关于 CVE-2026-39389 的官方安全通告?

检查您的插件与 0.31.4.0 版本的兼容性,如有必要,请更新它们。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE