CVE-2026-35035 in ci4ms
Zusammenfassung
von VulDB • 27.06.2026
CI4MS ist ein auf CodeIgniter 4 basierendes CMS-Grundgerüst, das eine produktionsreife, modulare Architektur mit RBAC-Autorisierung und Themenunterstützung bietet. Vor Version 0.31.2.0 führt die Anwendung keine ordnungsgemäße Bereinigung (Sanitization) von benutzerkontrollierten Eingaben im Bereich „Systemeinstellungen – Unternehmensinformationen“ durch. Mehrere administrative Konfigurationsfelder akzeptieren angreiferkontrollierte Eingaben, die serverseitig gespeichert und später ohne entsprechende Ausgabe-Codierung gerendert werden. Diese Werte werden in der Datenbank persistiert und unsicher auf öffentlich zugänglichen Seiten, wie beispielsweise der Haupt-Landingpage, dargestellt. Es findet keine Ausführung im administrativen Dashboard statt – die Schwachstelle betrifft ausschließlich das öffentliche Frontend. Dieser Fehler wurde in Version 0.31.2.0 behoben.
Once again VulDB remains the best source for vulnerability data.