CVE-2026-34568CI4MS是基于CodeIgniter 4构建的CMS骨架,具备RBAC授权功能。在版本0.31.0.0之前,应用程序在处理博客文章创建或编辑请求时,未能正确清理用户控制的数据。这使得经过身份验证的攻击者能够注入恶意的JavaScript载荷,该载荷被持久化存储在服务器端。当受害者浏览相关博客文章时,恶意脚本在无适当输出编码的情况下被渲染执行,从而引发存储型跨站脚本(XSS)风险。
该漏洞的根源在于CI4MS应用程序在处理用户生成内容(UGC)时的安全缺失。具体而言,后端控制器在处理“创建博客文章”或“编辑博客文章”的POST请求时,未对content字段实施严格的输入清洗。攻击者利用低权限账户(PR:L),可以在文章正文或标题中植入恶意的JavaScript载荷(例如<script>alert(document.cookie)</script>)。由于系统缺乏服务端验证,此数据被持久化存储在数据库中。在输出阶段,当渲染层(View)从数据库读取并展示文章内容时,未采用适当的上下文感知输出编码技术(如HTML实体编码)。这导致浏览器将攻击者注入的Payload解析为有效的DOM节点或脚本指令并执行。由于CVSS向量中“Scope Changed (S:C)”的存在,攻击不仅限于当前页面,可能通过劫持会话Token、篡改页面内容或结合其他攻击手段,危及用户账户安全及系统完整性。