CVE-2026-34563

Name of the Vulnerable Software and Affected Versions: CI4MS versões anteriores a 0.31.0.0

Description: A aplicação não sanitiza corretamente as entradas controladas pelo usuário ao lidar com uploads de backup e processamento de metadados de backup. Um invasor pode injetar um payload JavaScript malicioso no nome do arquivo de backup através do arquivo xss.sql enviado, que usa a funcionalidade SQL para inserir o payload XSS no lado do servidor. Este payload armazenado é posteriormente renderizado de forma insegura em várias visualizações de gerenciamento de backup sem a codificação de saída adequada, levando a um script entre sites cego persistente (Blind XSS). Os endpoints da API afetados incluem /backend/backup/upload, /backend/backup/ e /backup/{id}. O parâmetro vulnerável é o nome do arquivo de backup.

Recommendations: Atualize para a versão 0.31.0.0 ou posterior.