CVE-2026-35035

Nome do Software Vulnerável e Versões Afetadas CI4MS versões anteriores a 0.31.2.0

Descrição CI4MS, um esqueleto de CMS baseado em CodeIgniter 4, é suscetível a um problema de Cross-Site Scripting (XSS) armazenado. A aplicação não higieniza adequadamente a entrada controlada pelo usuário dentro da seção Configurações do Sistema – Informações da Empresa. Vários campos de configuração administrativos, incluindo Nome da Empresa, Slogan, Telefone da Empresa, Celular da Empresa, E-mail da Empresa, link do iframe do Google Maps e Logotipo da Empresa, aceitam entrada controlada por um invasor que é armazenada no lado do servidor e renderizada de forma insegura em páginas públicas. A vulnerabilidade afeta o frontend público e não afeta o painel administrativo. A funcionalidade afetada inclui a configuração de Informações da Empresa nas Configurações do Sistema e a renderização de páginas públicas. Um invasor pode injetar um payload JavaScript malicioso nesses campos, que é então armazenado e executado em páginas públicas, levando potencialmente a uma tomada de conta e um comprometimento em toda a plataforma. Os endpoints da API incluem /backend/settings/ (para injeção) e a página inicial (para execução).

Recomendações Atualize para a versão 0.31.2.0 ou posterior para resolver o problema.