CI4MS: Volledige accountovername via back-upbeheer voor alle rollen en privilege-escalatie via opgeslagen DOM Blind XSS (Cross-Site Scripting)

CI4MS is een op CodeIgniter 4 gebaseerd CMS-skelet dat een productieklare, modulaire architectuur levert met RBAC-autorisatie en thema-ondersteuning. Voorafgaand aan versie 0.31.0.0 slaagt de applicatie er niet in om door de gebruiker beheerde invoer correct te ontsmetten bij het verwerken van back-up uploads en het verwerken van back-up metadata. Een aanvaller kan een kwaadaardige JavaScript-payload injecteren in de back-up bestandsnaam via de geüploade xss.sql, die SQL-functionaliteit gebruikt om de XSS (Cross-Site Scripting) payload server-side in te voegen. Deze opgeslagen payload wordt later onveilig weergegeven in meerdere back-up beheerweergaven zonder de juiste uitvoercodering, wat leidt tot opgeslagen blind cross-site scripting (Blind XSS). Dit probleem is verholpen in versie 0.31.0.0.