CI4MS: Blogposts (Categorieën) Volledige accountovername voor alle rollen & Privilege-escalatie via Stored DOM XSS

CI4MS is een op CodeIgniter 4 gebaseerd CMS-skelet dat een productieklare, modulaire architectuur levert met RBAC-autorisatie en thema-ondersteuning. Voorafgaand aan versie 0.31.0.0 slaagt de applicatie er niet in om door de gebruiker beheerde invoer correct te ontsmetten bij het maken of bewerken van blogposts in de sectie Categorieën. Een aanvaller kan een kwaadaardige JavaScript-payload injecteren in de inhoud van de Categorieën, die vervolgens server-side wordt opgeslagen. Deze opgeslagen payload wordt later onveilig weergegeven wanneer de Categorieën worden bekeken via blogposts, zonder de juiste uitvoercodering, wat leidt tot stored cross-site scripting (XSS). Dit probleem is verholpen in versie 0.31.0.0.