CI4MS : Prise de contrôle complète du compte de gestion des méthodes pour tous les rôles et élévation de privilèges via XSS DOM stocké

CI4MS est un squelette CMS basé sur CodeIgniter 4 qui offre une architecture modulaire prête pour la production avec autorisation RBAC et prise en charge des thèmes. Avant la version 0.31.0.0, l’application ne parvient pas à assainir correctement les entrées contrôlées par l’utilisateur dans la fonctionnalité de gestion des méthodes lors de la création ou de la gestion des méthodes/pages d’application. Plusieurs champs de saisie acceptent les charges utiles JavaScript contrôlées par l’attaquant qui sont stockées côté serveur sans assainissement ni encodage de sortie. Ces valeurs stockées sont ensuite rendues directement dans les interfaces d’administration et les composants de navigation globale sans encodage approprié, ce qui entraîne un script intersite (XSS) basé sur DOM stocké. Ce problème a été corrigé dans la version 0.31.0.0.