CVE-2026-41890 in ci4msinformation

Résumé

par VulDB • 09/05/2026

CI4MS est un squelette de CMS basé sur CodeIgniter 4 qui offre une architecture modulaire prête pour la production, avec une autorisation RBAC et un support de thèmes. De la version 0.31.1.0 à avant la version 0.31.8.0, l'action deleteProcess() accepte un paramètre POST tables[] contenant des noms de tables arbitraires. Ceux-ci sont transmis directement à $forge->dropTable() sans valider que les tables appartiennent au thème en cours de suppression. La vue deleteConfirm remplit correctement tables[] à partir des fichiers de migration propres au thème, mais le traitement côté serveur deleteProcess ne vérifie pas les valeurs reçues par rapport à ces fichiers. Un administrateur authentifié peut créer une requête POST avec des noms de tables arbitraires et supprimer n'importe quelle table de la base de données. Ce problème a été corrigé dans la version 0.31.8.0.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

22/04/2026

Divulgation

07/05/2026

Modérer

accepté

Entrée

VDB-361783

CPE

prêt

EPSS

0.00029

KEV

non

Activités

très faible

Secteur

Lawfirm, Agriculture, ...

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41890
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41890
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41890/

PrécédentAperçuSuivant

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!