CVE-2026-41890

Nome do Software Vulnerável e Versões Afetadas CI4MS versões 0.31.1.0 até 0.31.7.0

Descrição A função deleteProcess() no endpoint /backend/themes/delete-process/{slug} não valida o parâmetro POST tables[]. Um administrador autenticado pode enviar uma requisição manipulada contendo nomes de tabelas arbitrários, que são passados diretamente para a função $forge->dropTable(). Isso permite que o usuário exclua qualquer tabela no banco de dados, independentemente de ela pertencer ou não ao tema que está sendo excluído. Esta falha pode levar à perda de dados críticos, como identidades de usuários e tabelas de autenticação, desativando efetivamente o acesso ao sistema.

Recomendações Atualize para a versão 0.31.8.0. Como medida paliativa temporária, restrinja o acesso à função deleteProcess() apenas aos administradores mais confiáveis até que a atualização seja aplicada.