CI4MS 在文件编辑器中的隐藏项目授权绕过漏洞允许读取密钥和写入受保护的文件

CI4MS（基于 CodeIgniter 4 的 CMS）中的 CVE-2026-39389 漏洞影响到 0.31.4.0 之前的版本。虽然漏洞的具体细节在摘要中没有提供，但 CVSS 分数 6.7 表明存在中等风险。这表明攻击者可能能够利用此漏洞来破坏 CI4MS 系统的机密性、完整性或可用性。影响可能因 CMS 的特定配置和处理的数据而异。为了减轻这种风险，必须升级到 0.31.4.0 版本。由于缺乏有关漏洞的详细信息，因此将更新作为预防措施应用至关重要。

Organizations and individuals using CI4MS CMS versions 0.0.0 through 0.31.3.0 are at risk. This includes websites and applications built on the CI4MS framework, particularly those with publicly accessible admin panels or vulnerable configurations. Shared hosting environments running CI4MS are also at increased risk due to potential cross-site contamination.

• codeigniter / server:

find /var/www/ci4ms -type f -name '*.php' -print0 | xargs -0 grep -i 'system/index.php'

• generic web:

curl -I https://your-ci4ms-site.com/ | grep Server

• wordpress / composer / npm: N/A • database (mysql, redis, mongodb, postgresql): N/A • windows / supply-chain: N/A • linux / server: Monitor system logs (e.g., /var/log/apache2/error.log) for unusual PHP errors or requests related to CI4MS.

1. 2026-04-08Disclosure

   disclosure

1. 已保留2026-04-06
2. 发布日期2026-04-08
3. 修改日期2026-04-10
4. EPSS 更新日期2026-04-16

CVE-2026-39389 的解决方案是将 CI4MS 升级到 0.31.4.0 或更高版本。此更新包含解决漏洞所需的修复程序。在应用更新之前，建议对网站进行完整备份，以便在出现问题时能够恢复系统。升级后，建议检查 CMS 的所有功能是否继续正常工作。如果使用第三方扩展或插件，请务必检查其与 CI4MS 新版本的兼容性，并在必要时进行更新。监控服务器日志还可以帮助检测升级后的任何可疑活动。