製品・ソフトウェアに関する情報

JVN脆弱性詳細

Ci4-cms-erpのCi4MSにおけるクロスサイトスクリプティングの脆弱性

Title	Ci4-cms-erpのCi4MSにおけるクロスサイトスクリプティングの脆弱性
Summary	CI4MSは、RBAC認証とテーマサポートを備えた本番対応のモジュラーアーキテクチャを提供するCodeIgniter 4ベースのCMSスケルトンです。バージョン0.31.2.0以前のアプリケーションでは、システム設定の会社情報内でユーザー制御の入力を適切にサニタイズできていませんでした。複数の管理者用設定フィールドが攻撃者制御の入力を受け入れ、サーバー側に保存され、その後適切な出力エンコーディングなしでレンダリングされます。これらの値はデータベースに保存され、主にメインのランディングページのような公開向けページで安全でない形で表示されます。管理ダッシュボードではこの脆弱性が実行されず、この脆弱性は公開フロントエンドのみに影響を及ぼします。この脆弱性はバージョン0.31.2.0で修正されています。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 6, 2026, midnight
Registration Date	April 24, 2026, 11:43 a.m.
Last Update	April 24, 2026, 11:43 a.m.

CVSS3.0 : 緊急
Score	9
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Affected System

Ci4-cms-erp

Ci4MS 0.31.2.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-35035	https://www.cve.org/CVERecord?id=CVE-2026-35035
National Vulnerability Database (NVD)
2	CVE-2026-35035	https://nvd.nist.gov/vuln/detail/CVE-2026-35035

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
GitHub
1	Company Information Public-Facing Page Full Platform Compromise & Full Account Takeover for All Roles & Privilege-Escalation via System Settings Company Information Stored DOM XSS Advisory ci4-cms-erp/ci4ms GitHub	https://github.com/ci4-cms-erp/ci4ms/security/advisories/GHSA-5ghq-42rg-769x

Change Log

No	Changed Details	Date of change
1	[2026年04月24日] 掲載	April 24, 2026, 11:43 a.m.

NVD Vulnerability Information

CVE-2026-35035

Summary	CI4MS is a CodeIgniter 4-based CMS skeleton that delivers a production-ready, modular architecture with RBAC authorization and theme support. Prior to 0.31.2.0, the application fails to properly sanitize user-controlled input within System Settings – Company Information. Several administrative configuration fields accept attacker-controlled input that is stored server-side and later rendered without proper output encoding. These values are persisted in the database and rendered unsafely on public-facing pages only, such as the main landing page. There is no execution in the administrative dashboard—the vulnerability only impacts the public frontend. This vulnerability is fixed in 0.31.2.0.
Publication Date	April 7, 2026, 2:17 a.m.
Registration Date	April 15, 2026, 11:27 a.m.
Last Update	April 23, 2026, 3:52 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:ci4-cms-erp:ci4ms::::::::					0.31.2.0

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/ci4-cms-erp/ci4ms/security/advisories/GHSA-5ghq-42rg-769x	security-advisories@github.com
2	https://github.com/ci4-cms-erp/ci4ms/security/advisories/GHSA-5ghq-42rg-769x	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html