CI4MS — это скелет CMS на базе CodeIgniter 4, который обеспечивает готовую к использованию модульную архитектуру с авторизацией RBAC и поддержкой тем. До версии 0.31.0.0 в серверной функции управления пользователями существовала уязвимость хранимого межсайтового сценария (хранимого XSS). Приложению не удается должным образом очистить ввод, контролируемый пользователем, перед его отображением в административном интерфейсе, что позволяет злоумышленникам внедрить постоянный код JavaScript.
Это приводит к автоматическому выполнению каждый раз, когда серверные пользователи получают доступ к затронутой странице, что позволяет перехватить сеанс, повысить привилегии и полностью скомпрометировать учетную запись администратора. Эта проблема исправлена в версии 0.31.0.0.
Показать оригинальное описание (EN)
CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. Prior to version 0.31.0.0, a Stored Cross-Site Scripting (Stored XSS) vulnerability exists in the backend user management functionality. The application fails to properly sanitize user-controlled input before rendering it in the administrative interface, allowing attackers to inject persistent JavaScript code. This results in automatic execution whenever backend users access the affected page, enabling session hijacking, privilege escalation, and full administrative account compromise. This issue has been patched in version 0.31.0.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Ci4-Cms-Erp Ci4ms
cpe:2.3:a:ci4-cms-erp:ci4ms:*:*:*:*:*:*:*:*
|
— |
0.31.0.0
|