CVE-2026-41201
KrytyczneStreszczenie
W wersji 0.31.4.0 CI4MS, oparty na CodeIgniter 4, zawiera podatność na pełne przejęcie konta oraz eskalację uprawnień poprzez przechowywane DOM XSS w polu nazwy pliku modułu kopii zapasowej. Atakujący może manipulować tym polem za pomocą pliku SQL, wprowadzając ukryty ładunek XSS.
Ocena ryzyka
Podatność ta może prowadzić do całkowitego przejęcia konta użytkownika oraz eskalacji uprawnień, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych użytkowników.
Rekomendacja
Zaleca się aktualizację do wersji 0.31.5.0, w której problem został naprawiony, aby zabezpieczyć system przed tymi atakami.
Oryginalny opis (angielski, źródło NVD)
CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. In version 0.31.4.0, an attacker can achieve Full Account Takeover & Privilege Escalation via Stored DOM XSS in backup module filename field manipulated via a sql file that tampers with the file name field to contain hidden XSS payload. This issue has been patched in version 0.31.5.0.

