CVE-2026-34566

Nome do Software Vulnerável e Versões Afetadas CI4MS versões anteriores a 0.31.0.0

Descrição CI4MS, um CMS baseado em CodeIgniter 4, é suscetível a cross-site scripting (XSS) baseado em DOM armazenado através da funcionalidade de Gerenciamento de Páginas. A aplicação não higieniza adequadamente a entrada controlada pelo usuário em vários campos durante a criação ou edição de páginas. Esses valores não higienizados são armazenados no lado do servidor e renderizados sem codificação de saída em listas de páginas administrativas e visualizações de páginas públicas, permitindo a execução de cargas úteis JavaScript maliciosas. Os campos afetados incluem Título, URL, Conteúdo, Imagem de Capa, URL da Imagem, Largura da Imagem, Altura da Imagem, Descrição SEO e Palavras-chave SEO. Um invasor pode injetar uma carga útil nesses campos, que então será executada nos navegadores de administradores, usuários autenticados e visitantes. Os endpoints da API afetados são /backend/pages/create, a visualização de gerenciamento da lista de páginas e visualizações de páginas públicas.

Recomendações Versões anteriores a 0.31.0.0 devem ser atualizadas para a versão 0.31.0.0 ou posterior. Evite usar métodos de manipulação de DOM inseguros como .html() ou innerHTML. Implemente a codificação de entidade HTML em todos os dados controlados pelo usuário antes de renderizá-los no navegador. Implemente a higienização de entrada para higienizar adequadamente toda a entrada fornecida pelo usuário. Aplique cabeçalhos de segurança e atributos de cookie, incluindo Política de Segurança de Conteúdo (CSP), a flag HttpOnly, o atributo SameSite e a flag Secure.