CVE-2026-25510

Nome do Software Vulnerável e Versões Afetadas Versões do CI4MS anteriores a 0.28.5.0

Descrição O CI4MS é um esqueleto de CMS baseado no CodeIgniter 4 que fornece uma arquitetura modular pronta para produção com autorização RBAC e suporte a temas. Um usuário autenticado com permissões de editor de arquivos pode obter Execução Remota de Código (RCE) aproveitando os endpoints de criação e salvamento de arquivos. Um invasor pode fazer upload e executar código PHP arbitrário no servidor. A vulnerabilidade é acionada através do editor de arquivos, permitindo a criação arbitrária de arquivos. Os endpoints vulneráveis são os de criação e salvamento de arquivos. O parâmetro file está envolvido no processo de criação de arquivos.

Recomendações Atualize o CI4MS para a versão 0.28.5.0 ou posterior.