CVE-2026-39391— CI4MS 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-39391の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
CI4MS has Stored XSS via Unescaped Blacklist Note in Admin User List
ソース: NVD (National Vulnerability Database)
脆弱性説明
CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. Prior to 0.31.4.0, the blacklist (ban) note parameter in UserController::ajax_blackList_post() is stored in the database without sanitization and rendered into an HTML data-note attribute without escaping. An admin with blacklist privileges can inject arbitrary JavaScript that executes in the browser of any other admin who views the user management page. This vulnerability is fixed in 0.31.4.0.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
CI4MS 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
CI4MS是Ci4MS开源的一个博客页面管理工具。 CI4MS 0.31.4.0之前版本存在安全漏洞,该漏洞源于黑名单备注参数未经清理即存储并渲染到HTML属性中,可能导致具有黑名单权限的管理员注入并执行任意JavaScript。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
II. CVE-2026-39391の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-39391のインテリジェンス情報
请登录查看更多情报信息。
Same Patch Batch · ci4-cms-erp · 2026-04-08 · 6 CVEs total
| CVE-2026-39394 | 8.1 HIGH | CI4MS has an .env CRLF Injection via Unvalidated `host` Parameter in Install Controller |
| CVE-2026-39393 | 8.1 HIGH | Post-Installation Re-entry via Cache-Dependent Install Guard Bypass in ci4ms |
| CVE-2026-39389 | 6.7 MEDIUM | CI4MS has a Hidden Items Authorization Bypass in Fileeditor Allows Reading Secrets and Wri |
| CVE-2026-39390 | 5.5 MEDIUM | CI4MS has Stored XSS via srcdoc attribute bypass in Google Maps iframe setting |
| CVE-2026-39392 | 5.5 MEDIUM | CI4MS has Stored XSS in Pages Content Due to Missing html_purify Sanitization |
IV. 関連脆弱性
同じ製品: ci4ms
- CVE-2026-41891
CI4MS: Deactivated User Session Bypass (active=0) - CVE-2026-41890
CI4MS: Arbitrary Database Table Drop via Theme deleteProcess - CVE-2026-41203
ci4ms Theme::upload is vulnerable to Zip Slip leading to RCE - CVE-2026-41202
ci4ms Backup::restore is vulnerable to Zip Slip leading to R - CVE-2026-41201
CI4MS: Backup Management Full Account Takeover for All-Roles
同じベンダー: ci4-cms-erp
- CVE-2026-41891
CI4MS: Deactivated User Session Bypass (active=0) - CVE-2026-41890
CI4MS: Arbitrary Database Table Drop via Theme deleteProcess - CVE-2026-41203
ci4ms Theme::upload is vulnerable to Zip Slip leading to RCE - CVE-2026-41202
ci4ms Backup::restore is vulnerable to Zip Slip leading to R - CVE-2026-41201
CI4MS: Backup Management Full Account Takeover for All-Roles
同じ弱点: CWE-79
- CVE-2026-8262
Devs Palace ERP Online chart-save cross site scripting - CVE-2026-8256
Devs Palace ERP Online mr-save cross site scripting - CVE-2026-8255
Devs Palace ERP Online add_new_customer cross site scripting - CVE-2026-8254
Devs Palace ERP Online sales_save cross site scripting - CVE-2026-8253
Devs Palace ERP Online purchase_save cross site scripting
V. CVE-2026-39391へのコメント
まだコメントはありません