CVE-2026-39390

Name of the Vulnerable Software and Affected Versions CI4MS versões anteriores a 0.31.4.0

Description CI4MS é um esqueleto de CMS baseado em CodeIgniter 4. Em versões anteriores a 0.31.4.0, a configuração do iframe do Google Maps (campo cMap) na função compInfosPost() não higieniza adequadamente o atributo srcdoc, permitindo que um invasor com acesso de administrador injete um payload de iframe malicioso com JavaScript codificado em entidades HTML. Este código injetado é executado no contexto da página pai quando visualizado por usuários não autenticados.

Recommendations Atualize para a versão 0.31.4.0 ou posterior.