CI4MS: Stored Cross‑Site Scripting (Stored XSS) in Backend User Management Allows Session Hijacking and Full Administrative Account Compromise

CI4MS is een op CodeIgniter 4 gebaseerd CMS-skelet dat een productieklare, modulaire architectuur levert met RBAC-autorisatie en thema-ondersteuning. Vóór versie 0.31.0.0 bestaat er een Stored Cross-Site Scripting (Stored XSS) kwetsbaarheid in de backend user management functionaliteit. De applicatie slaagt er niet in om door de gebruiker beheerde invoer correct te ontsmetten voordat deze in de administratieve interface wordt weergegeven, waardoor aanvallers persistente JavaScript-code kunnen injecteren. Dit resulteert in automatische uitvoering wanneer backend-gebruikers de betreffende pagina bezoeken, waardoor sessiekaping, privilege-escalatie en volledige compromittering van het administratieve account mogelijk is. Dit probleem is verholpen in versie 0.31.0.0.