Prilikom upotrebe programskog paketa Tiki Wiki CMS Groupware uočen je propust. Riječ je o popularnom sustavu za upravljanje sadržajem (eng. Content Management System) pisanom u programskom jeziku PHP. Nedostatak se javlja kao posljedica pogrešaka u aplikaciji pri obradi pojedinih HTTP zahtjeva. Napadačima omogućuje pokretanje XSS (eng. cross-site scripting) napada. Svim se korisnicima preporuča izbjegavanje otvaranja nepouzdanih poveznica dok su prijavljeni u aplikaciju.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2011-12-070
Naslov: Otklonjena ranjivost paketa Tiki Wiki CMS Groupware
Datum: 2011-12-29
OS: Windows, Linux, UNIX
Programski paket: Tiki Wiki CMS Groupware
Tip sigurnosnog problema: XSS napad
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

U radu programskog paketa Tiki Wiki CMS Groupware uocen je sigurnosni nedostatak.

Tiki Wiki CMS Groupware je besplatan, web orijentiran sustav za upravljanje sadrzajem (eng. Content Management System). Temeljen je na programskom jeziku PHP, a namijenjen je za stvaranje svih vrsta web aplikacija, stranica, portala, galerija 
slika, clanaka i dr.

Vise informacija o navedenom paketu dostupno je na sljedecoj web adresi:

http://info.tiki.org/tiki-index.php

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Ranjivost uocena u radu paketa Tiki Wiki CMS Groupware napadacima omogucuje izvodjenje XSS (eng. cross-site scripting) napada.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima savjetuje izbjegavanje otvaranja nepouzdanih poveznica (eng. link) dok su prijavljeni u aplikaciji.  

-------------------------------------------------------------------------------

[4]  Analiza

Navedena ranjivost je uocena jer aplikacija napadacima omogucuje izvodjenje odredjenih 
radnji putem HTTP zahtjeva i to bez obavljanje bilo kakve provjere valjanosti takvih zahtjeva. 
Napadaci to mogu iskoristiti za pokretanje proizvoljnog PHP koda navodjenjem korisnika na otvaranje posebno oblikovane web stranice.

Ranjivost je potvrdjena u inacici 8.2. Ostale inacice takodjer mogu biti ranjive.

-------------------------------------------------------------------------------

[5]  Credit

Propust je otkrio:

EgiX.

Tekst izvorne preporuke nalazi se na sljedecoj adresi:

http://dev.tiki.org/item4059.

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________