CRITICALCVE-2026-34571CVSS 9.9

CI4MS：后端用户管理中的存储型跨站脚本 (Stored XSS) 允许会话劫持和完全管理帐户泄露

Q: CVE-2026-34571 是什么 — ci4-cms-erp/ci4ms 中的 Cross-Site Scripting (XSS)？

XSS（跨站脚本）是一种安全漏洞，允许攻击者将恶意脚本注入到其他用户查看的网页中。

Q: ci4-cms-erp/ci4ms 中的 CVE-2026-34571 是否会影响我？

该漏洞是关键的，因为它允许攻击者破坏管理帐户，从而使他们获得对系统的完全访问权限。

Q: 如何修复 ci4-cms-erp/ci4ms 中的 CVE-2026-34571？

限制对管理界面的访问，并监控系统日志以查找可疑活动。

Q: CVE-2026-34571 是否正在被积极利用？

有几种 Web 安全扫描工具可以帮助识别 XSS 漏洞。

Q: 在哪里可以找到 ci4-cms-erp/ci4ms 关于 CVE-2026-34571 的官方安全通告？

使用强大且唯一的密码，并在可能的情况下启用双因素身份验证 (2FA)。

平台

php

组件

ci4-cms-erp/ci4ms

修复版本

0.31.1

0.31.0.0

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-34571 是 CI4MS CMS 骨架中一个存储型跨站脚本 (XSS) 漏洞，影响 0.31.0.0 之前的版本。该漏洞存在于后端用户管理功能中，允许攻击者注入持久性 JavaScript 代码。每当后端用户访问受影响的页面时，这些代码会自动执行，从而实现会话劫持、权限提升和完全管理控制。此漏洞已在 0.31.0.0 版本中修复。

影响与攻击场景

ci4ms 中的 CVE-2026-34571 存在于后端用户管理功能中的存储型跨站脚本 (Stored XSS) 漏洞，构成严重风险。应用程序在将用户控制的输入渲染到管理界面之前，未能正确地对其进行清理，允许攻击者注入持久的 JavaScript 代码。每当后端用户访问受影响的页面时，此代码将自动执行，可能导致会话劫持、权限提升以及完全破坏管理帐户。CVSS 分数 9.9 突出了此问题的严重性，需要立即采取行动。

利用背景

攻击者可以通过在 ci4ms 管理界面的用户输入字段中注入恶意 JavaScript 代码来利用此漏洞。此代码可能旨在窃取会话 cookie、将用户重定向到恶意网站或代表管理员执行操作。XSS 代码的持久性意味着在应用更新之前，该漏洞将保持活动状态，影响所有访问受损页面的后端用户。用户输入验证不足是此漏洞的主要原因。

哪些人处于风险中翻译中…

Organizations using ci4-cms-erp/ci4ms in their backend systems, particularly those with administrative access to the user management functionality, are at risk. Shared hosting environments where multiple users share the same instance of ci4-cms-erp/ci4ms are especially vulnerable, as a compromise of one user could lead to the compromise of others.

检测步骤翻译中…

• php: Examine backend user management logs for suspicious JavaScript injection attempts. Search for unusual characters or patterns in user input fields. • generic web: Use curl to test the user creation endpoint with various payloads containing <script> tags. Monitor response headers for signs of XSS.

curl -X POST -d 'username=<script>alert("XSS")</script>' https://your-ci4ms-instance/backend/us

• generic web: Review access and error logs for requests containing XSS payloads. Look for patterns indicative of attempted injection. • generic web: Use browser developer tools to monitor for JavaScript execution originating from unexpected sources.

攻击时间线

2026-04-01Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告5 份威胁报告

EPSS

0.05% (17% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响total

受影响的软件

组件ci4-cms-erp/ci4ms

供应商osv

影响范围修复版本

< 0.31.0.0 – < 0.31.0.00.31.1

—0.31.0.0

弱点分类 (CWE)

CWE-79

时间线

已保留2026-03-30
发布日期2026-04-01
修改日期2026-04-06
EPSS 更新日期2026-04-09

缓解措施和替代方案

针对 CVE-2026-34571 的建议缓解措施是将 ci4ms 更新到版本 0.31.0.0 或更高版本。此版本包含必要的修复程序，以正确清理用户输入并防止恶意代码注入。在此期间，将对管理界面的访问限制为授权用户，并积极监控系统日志以查找可疑活动。实施强大的密码安全策略并启用双因素身份验证 (2FA) 可以提供额外的保护层，以防止未经授权的访问。定期进行安全审计可以帮助识别和修复类似漏洞。

修复方法翻译中…

Actualice CI4MS a la versión 0.31.0.0 o superior. Esta versión corrige la vulnerabilidad XSS almacenada en la gestión de usuarios del backend.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-34571 是什么 — ci4-cms-erp/ci4ms 中的 Cross-Site Scripting (XSS)？