PT-2026-34596 · Packagist+1 · Ci4-Cms-Erp/Ci4Ms+1
Bugmithlegend
+1
·
Publicado
2026-04-22
·
Atualizado
2026-05-12
·
CVE-2026-41201
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
CI4MS versões anteriores a 0.31.5.0
Descrição
Um problema de Stored DOM XSS (Cross-Site Scripting) existe no módulo de backup. Um invasor pode manipular o campo de nome de arquivo usando um arquivo SQL para injetar um payload XSS oculto, levando potencialmente ao controle total da conta e escalonamento de privilégios.
Recomendações
Atualize para a versão 0.31.5.0.
Como medida paliativa temporária, restrinja o acesso ao módulo de backup para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ci4-Cms-Erp/Ci4Ms
Ci4Ms