CI4MS: Blogs Categories Full Account Takeover for All-Roles & Privilege-Escalation via Stored DOM XSS

CI4MS is een op CodeIgniter 4 gebaseerd CMS-skelet dat een productieklare, modulaire architectuur levert met RBAC-autorisatie en thema-ondersteuning. Vóór versie 0.31.0.0 slaagt de applicatie er niet in om door de gebruiker beheerde invoer correct te ontsmetten bij het maken of bewerken van blogcategorieën. Een aanvaller kan een kwaadaardige JavaScript-payload injecteren in het categorie-titelveld, dat vervolgens server-side wordt opgeslagen. Deze opgeslagen payload wordt later onveilig weergegeven op openbare blogcategoriepagina's, administratieve interfaces en blogpostweergaven zonder de juiste uitvoercodering, wat leidt tot stored cross-site scripting (XSS). Dit probleem is verholpen in versie 0.31.0.0.