Katalog CVE

CVE-2026-41201

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W wersji 0.31.4.0 CI4MS, oparty na CodeIgniter 4, zawiera podatność na pełne przejęcie konta oraz eskalację uprawnień poprzez przechowywane DOM XSS w polu nazwy pliku modułu kopii zapasowej. Atakujący może manipulować tym polem za pomocą pliku SQL, wprowadzając ukryty ładunek XSS.

Ocena ryzyka

Podatność ta może prowadzić do całkowitego przejęcia konta użytkownika oraz eskalacji uprawnień, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych użytkowników.

Rekomendacja

Zaleca się aktualizację do wersji 0.31.5.0, w której problem został naprawiony, aby zabezpieczyć system przed tymi atakami.

Oryginalny opis (angielski, źródło NVD)

CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. In version 0.31.4.0, an attacker can achieve Full Account Takeover & Privilege Escalation via Stored DOM XSS in backup module filename field manipulated via a sql file that tampers with the file name field to contain hidden XSS payload. This issue has been patched in version 0.31.5.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS