CI4MS — это скелет CMS на базе CodeIgniter 4, который обеспечивает готовую к использованию модульную архитектуру с авторизацией RBAC и поддержкой тем. До версии 0.31.2.0 приложение не может должным образом очистить вводимые пользователем данные в разделе «Настройки системы — Информация о компании». Некоторые поля административной конфигурации принимают входные данные, контролируемые злоумышленником, которые сохраняются на стороне сервера и позже обрабатываются без правильного кодирования вывода.
Эти значения сохраняются в базе данных и небезопасно отображаются только на общедоступных страницах, таких как главная целевая страница. На административной панели выполнение не выполняется — уязвимость затрагивает только публичный интерфейс. Эта уязвимость исправлена в версии 0.31.2.0.
Показать оригинальное описание (EN)
CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. Prior to 0.31.2.0 , the application fails to properly sanitize user-controlled input within System Settings – Company Information. Several administrative configuration fields accept attacker-controlled input that is stored server-side and later rendered without proper output encoding. These values are persisted in the database and rendered unsafely on public-facing pages only, such as the main landing page. There is no execution in the administrative dashboard—the vulnerability only impacts the public frontend. This vulnerability is fixed in 0.31.2.0.
Характеристики атаки
Последствия
Строка CVSS v3.1