CI4MS: Volledige accountovername via Methods Management voor alle rollen en Privilege-escalatie via Stored DOM XSS

CI4MS is een op CodeIgniter 4 gebaseerd CMS-skelet dat een productieklare, modulaire architectuur levert met RBAC-autorisatie en thema-ondersteuning. Voorafgaand aan versie 0.31.0.0 slaagt de applicatie er niet in om door de gebruiker beheerde invoer correct te ontsmetten binnen de Methods Management-functionaliteit bij het maken of beheren van applicatiemethoden/pagina's. Meerdere invoervelden accepteren door aanvallers beheerde JavaScript-payloads die server-side worden opgeslagen zonder ontsmetting of uitvoercodering. Deze opgeslagen waarden worden later rechtstreeks in administratieve interfaces en globale navigatiecomponenten weergegeven zonder de juiste codering, wat resulteert in Stored DOM-Based Cross-Site Scripting (XSS). Dit probleem is verholpen in versie 0.31.0.0.