CVE-2026-34571

Nome do Software Vulnerável e Versões Afetadas: CI4MS versões anteriores a 0.31.0.0

Descrição: CI4MS, um esqueleto de CMS baseado em CodeIgniter 4, contém uma vulnerabilidade de Cross-Site Scripting Persistente (XSS Persistente) na funcionalidade de gerenciamento de usuários do backend. A aplicação não higieniza adequadamente as entradas controladas pelo usuário antes de renderizá-las na interface administrativa, permitindo que invasores injetem código JavaScript persistente. Este código é executado automaticamente quando os usuários do backend acessam a página afetada, potencialmente permitindo o sequestro de sessão, escalada de privilégios e comprometimento total da conta administrativa. A vulnerabilidade reside no recurso de criação de usuários do backend acessível através do endpoint da API /backend/users. A entrada fornecida pelo usuário nos campos name e surname é armazenada sem validação ou higienização e, em seguida, injetada no HTML sem codificação de saída. Isso permite que invasores incorporem cargas úteis de JavaScript maliciosas que são executadas no contexto de usuários do backend autenticados.

Recomendações: Atualize o CI4MS para a versão 0.31.0.0 ou posterior.