CI4MS：备份管理所有角色完全帐户接管和通过存储型 DOM 盲注跨站脚本 (Blind XSS) 的权限提升

CI4MS 是一个基于 CodeIgniter 4 的 CMS 骨架，它提供了一个生产就绪的模块化架构，具有 RBAC 授权和主题支持。在 0.31.0.0 版本之前，该应用程序在处理备份上传和处理备份元数据时，未能正确清理用户控制的输入。攻击者可以通过上传的 xss.sql 将恶意 JavaScript 有效负载注入到备份文件名中，该文件使用 SQL 功能在服务器端插入 XSS 有效负载。此存储的有效负载稍后在多个备份管理视图中不安全地呈现，而没有适当的输出编码，从而导致存储型盲注跨站脚本 (Blind XSS)。此问题已在 0.31.0.0 版本中得到修补。