Uočen je propust u radu programskog paketa Tiki Wiki CMS/Groupware. Radi se o sustavu za upravljanje sadržajem (eng. Content Management System) pisanom u programskom jeziku PHP. Propust se javlja kao posljedica nedovoljne provjere ulaznih podataka prije vraćanja korisniku. Radi se o podacima predanim preko parametra "ajax" datoteci snarf_ajax. Ranjivost napadačima omogućuje pokretanje proizvoljnog HTML ili skriptnog koda. Svim se korisnicima preporuča nadogradnja postojeće inačice.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2011-07-041
Naslov: Ispravljena ranjivost programskog paketa Tiki Wiki CMS/Groupware
Datum: 2011-07-29
OS: Windows, Linux/UNIX
Programski paket: Tiki Wiki CMS/Groupware
Tip sigurnosnog problema: XSS napad
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

Prilikom upotrebe programskog paketa Tiki Wiki CMS/Groupware uocena je nova 
sigurnosna ranjivost. 

Tiki CMS/Groupware (TikiWiki) programski paket predstavlja web baziranu Groupware odnosno CMS (eng. Content Management System) aplikaciju, namijenjenu stvaranju svih vrsta web aplikacija, stranica, portala i sl. 

Vise informacija o navedenom paketu moguce je pronaci na sluzbenim stranicama:

http://info.tiki.org/Tiki+Wiki+CMS+Groupware

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Spomenuta ranjivost, uocena u radu programskog paketa Tiki Wiki CMS/Groupware, 
zlonamjernim napadacima omogucuje izvodjenje XSS (eng. cross-site scripting) napada.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima poreporuca nadogradnja inacice 6.4.

-------------------------------------------------------------------------------

[4]  Analiza

Ulazni podaci predani preko parametra "ajax" datoteci snarf_ajax.php nisu ispravno 
provjereni prije vracanja korisniku. To se moze iskoristiti za pokretanje proizvoljnog 
HTML ili skriptnog koda na korisnikovom pregledniku u kontekstu zlonamjerno oblikovane 
stranice.

Uspjesna zloupotreba podrazumijeva da napadac ima administratorske ovlasti.

Ranjivost je uocena u inacici 6.4.

-------------------------------------------------------------------------------

[5]  Credit

Propust je otkrio:

High-Tech Bridge SA.

Tekst ozvorne preporuke nalazi se na sljedecoj adresi:

HTB23027:
http://www.htbridge.ch/advisory/xss_in_tiki_wiki_cms_groupware.html.

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________