CI4MS: Apropriação Total de Conta para Todas as Funções e Escalonamento de Privilégios via XSS (Cross-Site Scripting) DOM Armazenado no Gerenciamento de Permissões

CI4MS é um esqueleto de CMS baseado em CodeIgniter 4 que oferece uma arquitetura modular pronta para produção com autorização RBAC e suporte a temas. Anteriormente à versão 0.31.0.0, o aplicativo não consegue higienizar adequadamente a entrada controlada pelo usuário dentro da funcionalidade de gerenciamento de grupos e funções. Vários campos de entrada (três campos distintos relacionados ao grupo) podem ser injetados com payloads JavaScript maliciosos, que são então armazenados no lado do servidor. Esses payloads armazenados são posteriormente renderizados de forma insegura em visualizações administrativas privilegiadas sem a codificação de saída adequada, levando ao XSS (cross-site scripting) armazenado no contexto de gerenciamento de funções e permissões. Este problema foi corrigido na versão 0.31.0.0.