Uočen je propust u radu programskog paketa Tiki Wiki CMS/Groupware. Radi se o sustavu za upravljanje sadržajem (eng. Content Management System) pisanom u programskom jeziku PHP. Propust se javlja kao posljedica nedovoljne provjere ulaznih podataka prije vraćanja korisniku. Radi se o podacima predanim preko parametra "ajax" datoteci snarf_ajax. Ranjivost napadačima omogućuje pokretanje proizvoljnog HTML ili skriptnog koda. Svim se korisnicima preporuča nadogradnja postojeće inačice.
_______________________________________________________________________________
ID upozorenja: ADV-LSS-2011-07-041
Naslov: Ispravljena ranjivost programskog paketa Tiki Wiki CMS/Groupware
Datum: 2011-07-29
OS: Windows, Linux/UNIX
Programski paket: Tiki Wiki CMS/Groupware
Tip sigurnosnog problema: XSS napad
Rizik: Malen
_______________________________________________________________________________
[1] Uvod
Prilikom upotrebe programskog paketa Tiki Wiki CMS/Groupware uocena je nova
sigurnosna ranjivost.
Tiki CMS/Groupware (TikiWiki) programski paket predstavlja web baziranu Groupware odnosno CMS (eng. Content Management System) aplikaciju, namijenjenu stvaranju svih vrsta web aplikacija, stranica, portala i sl.
Vise informacija o navedenom paketu moguce je pronaci na sluzbenim stranicama:
http://info.tiki.org/Tiki+Wiki+CMS+Groupware
-------------------------------------------------------------------------------
[2] Sigurnosni problem
Spomenuta ranjivost, uocena u radu programskog paketa Tiki Wiki CMS/Groupware,
zlonamjernim napadacima omogucuje izvodjenje XSS (eng. cross-site scripting) napada.
-------------------------------------------------------------------------------
[3] Sigurnosna zastita
Svim se korisnicima poreporuca nadogradnja inacice 6.4.
-------------------------------------------------------------------------------
[4] Analiza
Ulazni podaci predani preko parametra "ajax" datoteci snarf_ajax.php nisu ispravno
provjereni prije vracanja korisniku. To se moze iskoristiti za pokretanje proizvoljnog
HTML ili skriptnog koda na korisnikovom pregledniku u kontekstu zlonamjerno oblikovane
stranice.
Uspjesna zloupotreba podrazumijeva da napadac ima administratorske ovlasti.
Ranjivost je uocena u inacici 6.4.
-------------------------------------------------------------------------------
[5] Credit
Propust je otkrio:
High-Tech Bridge SA.
Tekst ozvorne preporuke nalazi se na sljedecoj adresi:
HTB23027:
http://www.htbridge.ch/advisory/xss_in_tiki_wiki_cms_groupware.html.
-------------------------------------------------------------------------------
[6] LSS/ZESOI/FER
LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke
sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva
Sveucilista u Zagrebu
_______________________________________________________________________________
Posljednje sigurnosne preporuke