CRITICAL🇬🇧 English

CVE-2026-34563

Stored Blind XSS w CI4MS poprzez złośliwą nazwę pliku backup

CVSS 9.1v3.1pub. 2026-04-01upd. 2026-04-07

CI4MS (szkielet CMS oparty na CodeIgniter 4) przed wersją 0.31.0.0 jest podatny na stored Blind XSS, umożliwiający wstrzyknięcie złośliwego kodu JavaScript przez nazwę pliku backupu. Podatność jest krytyczna, ponieważ pozwala atakującemu na trwałe osadzenie payloadu XSS po stronie serwera, który następnie jest wykonywany w kontekście przeglądarki innych użytkowników.

Pokaż oryginał (EN)

CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. Prior to version 0.31.0.0, the application fails to properly sanitize user-controlled input when handling backup uploads and processing backup metadata. An attacker can inject a malicious JavaScript payload into the backup filename via the uploaded xss.sql, which uses SQL functionality to insert the XSS payload server-side. This stored payload is later rendered unsafely in multiple backup management views without proper output encoding, leading to stored blind cross-site scripting (Blind XSS). This issue has been patched in version 0.31.0.0.

🤖 Analiza AI
Jak działa

Atakujący przesyła plik backup (np. xss.sql) zawierający złośliwy payload JavaScript osadzony w nazwie pliku. Aplikacja nie sanityzuje poprawnie tej nazwy — payload jest wstawiany do bazy danych po stronie serwera przy użyciu funkcjonalności SQL. Tak utrwalony payload jest następnie wyświetlany bez właściwego kodowania wyjścia (output encoding) w wielu widokach zarządzania backupami, co skutkuje wykonaniem złośliwego skryptu w przeglądarce każdego użytkownika przeglądającego te widoki.

Skutki

Atakujący może wykonać arbitralny kod JavaScript w kontekście przeglądarki innych użytkowników aplikacji, w tym administratorów, co może prowadzić do przejęcia sesji, kradzieży poświadczeń, eskalacji uprawnień lub wykonania nieautoryzowanych działań w imieniu ofiary.

Mitygacja

Należy zaktualizować CI4MS do wersji 0.31.0.0, w której producent załatał opisaną podatność. Szczegóły dostępne w oficjalnym advisory: https://github.com/ci4-cms-erp/ci4ms/security/advisories/GHSA-85m8-g393-jcxf

Kogo dotyczy

CI4MS (ci4-cms-erp/ci4ms) — wszystkie wersje przed 0.31.0.0

Uwagi

Podatność wymaga posiadania uprawnienia do przesyłania plików backup (PR:L — wymagane uwierzytelnienie z niskimi uprawnieniami). Zasięg ataku wykracza poza kontekst ofiary wgrywającej plik (S:C — zmiana zakresu), co znacząco podnosi ocenę CVSS do 9.1.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L
  • Ci4 Cms Erp Ci4ms

    APP
    Ci4-Cms-Erp
    < 0.31.0.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2026-34989CRITICAL9.4PL ✓ten sam produkt

Stored XSS w CI4MS — złośliwy skrypt w nazwie profilu użytkownika

CVE-2026-34559CRITICAL9.1PL ✓ten sam produkt

Stored XSS w CI4MS — wstrzykiwanie skryptów przez pole tagów bloga

CVE-2026-34560CRITICAL9.1PL ✓ten sam produkt

Blind Stored XSS w interfejsie logów CI4MS — atak na administratora

CVE-2026-34564CRITICAL9.1PL ✓ten sam produkt

Stored DOM-based XSS w CI4MS – Menu Management bez sanityzacji danych

CVE-2026-34565CRITICAL9.1PL ✓ten sam produkt

Stored DOM-based XSS w CI4MS — zarządzanie menu nawigacyjnym