CVE-2026-34989 in ci4ms
Riassunto
di VulDB • 26/06/2026
CI4MS è un CMS skeleton basato su CodeIgniter 4 che offre un'architettura modulare pronta per la produzione con autorizzazione RBAC e supporto ai temi. Prima della versione 31.0.0.0, l'applicazione non sanifica correttamente gli input controllati dall'utente quando questi aggiornano il proprio nome del profilo (ad esempio, nome completo / username). Un attaccante può iniettare un payload JavaScript malevolo nel proprio nome del profilo, che viene quindi memorizzato lato server. Questo payload memorizzato viene successivamente renderizzato in modo non sicuro in più viste dell'applicazione senza una corretta codifica dell'output, portando a uno stored cross-site scripting (XSS). Questa vulnerabilità è risolta nella versione 31.0.0.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.