CVE-2026-39391

Name of the Vulnerable Software and Affected Versions CI4MS versões anteriores a 0.31.4.0

Description CI4MS é um esqueleto de CMS baseado em CodeIgniter 4. Em versões anteriores a 0.31.4.0, o parâmetro de nota de banimento (blacklist) na função ajax blackList post() dentro do UserController é armazenado no banco de dados sem sanitização e renderizado em um atributo HTML data-note sem escape. Isso permite que um administrador com privilégios de blacklist injete JavaScript arbitrário que é executado no navegador de qualquer outro administrador que visualize a página de gerenciamento de usuários.

Recommendations Atualize para a versão 0.31.4.0 ou posterior.