CVE-2026-34562

Nome do Software Vulnerável e Versões Afetadas CI4MS versões anteriores a 0.31.0.0

Descrição CI4MS não sanitiza adequadamente as entradas controladas pelo usuário dentro de Configurações do Sistema – Informações da Empresa. Vários campos de configuração administrativos, incluindo Nome da Empresa, Slogan, Telefone da Empresa, Celular da Empresa, E-mail da Empresa, link do iframe do Google Maps e Logotipo da Empresa, aceitam entradas controladas por um invasor que são armazenadas no servidor e posteriormente renderizadas sem a codificação de saída adequada. Isso resulta em Cross-Site Scripting (XSS) baseado em DOM armazenado com execução imediata na mesma página. A vulnerabilidade permite que um invasor injete um payload JavaScript malicioso nesses campos, que escapa do contexto do atributo HTML e é executado no navegador do usuário autenticado gerenciando as configurações. Isso pode levar à elevação de privilégios administrativos e à compromissão total da plataforma. O endpoint da API afetado é /backend/settings/ (Informações da Empresa). Os parâmetros vulneráveis são os campos de entrada dentro da seção Informações da Empresa.

Recomendações Versões anteriores a 0.31.0.0: Atualize para a versão 0.31.0.0 ou posterior para resolver a vulnerabilidade. Evite métodos de manipulação de DOM inseguros, como .html() e innerHTML. Aplique a codificação de entidade HTML a todos os dados controlados pelo usuário antes de renderizá-los no navegador. Implemente a sanitização de entrada para garantir que todas as entradas fornecidas pelo usuário sejam devidamente sanitizadas antes do processamento ou saída.