Ich fürchte, der Safe Mode deaktiviert nur Front-End-Code und nicht serverseitige Dinge (was die meisten Dinge abfängt, aber nicht alles), daher könnte es immer noch ein Plugin sein. Das wahrscheinlichste ist allow-pms-to-staff, da es das einzige nicht-offizielle in der Liste ist. Könnten Sie versuchen, es aus Ihrer app.yml zu entfernen und neu zu erstellen, um zu sehen, ob dies tatsächlich das Problem verursacht?
Es gab kürzlich einen Bericht, dass es für etwas anderes eine Korrektur benötigte, obwohl dies möglicherweise nicht zusammenhängt: