TikiWiki gibt vertrauliche Daten preis [Update]
TikiWiki enthält einige Schwachstellen, durch die Angreifer Zugangsdaten für die zugrunde liegende Datenbank ausspähen könnten. Außerdem können sie mit manipulierten Links in E-Mails Cross-Site-Scripting-Attacken ausführen.
Das populäre TikiWiki enthält in der aktuellen Version einige Schwachstellen, durch die Angreifer Zugangsdaten für die zugrunde liegende Datenbank ausspähen könnten. Außerdem können sie mit manipulierten Links in E-Mails Cross-Site-Scripting-Attacken ausführen.
Da die Wiki-Software SQL-Fehlermeldungen in den HTML-Seiten ausgibt, genügt der Fehlermeldung von securfrog zufolge das Provozieren eines solchen SQL-Fehlers mit der Variable sort_mode. Dabei könnten die Zugangsdaten des Wikis für die Datenbank ausgegeben werden. Eine Anmeldung am TikiWiki ist dazu nicht erforderlich.
Eine Cross-Site-Scripting-Lücke stammt von der fehlenden Überprüfung des URL-Parameters in tiki-featured_link.php. Dadurch können Angreifer beliebigen Scriptcode im Browser eines Benutzers ausführen lassen, wenn es ihnen gelingt, Anwender zu einem Klick auf einen präparierten Link zu verleiten.
Fehlerhaft ist die aktuelle Version 1.9.5 (Sirius) von TikiWiki. Im CVS sind Berichten zufolge die Lücken mit dem sort_mode-Parameter geschlossen. Administratoren eines TikiWikis sollten daher auf den aktuellen Entwicklerstand aktualisieren.
Update:
Die TikiWiki-Entwickler beheben die Schwachstellen und weitere kleinere Fehler mit der Version 1.9.6. Betroffene Administratoren sollten die aktuelle Version von den Sourceforge-Servern herunterladen und installieren. Details zu den weiteren Änderungen finden sich in den Releasenotes zur neuen Fassung.
Siehe dazu auch: (dmk)
- tikiwiki 1.9.5 mysql password disclosure & xss, Sicherheitsmeldung von securfrog
- Homepage von TikiWiki mit Download und CVS-Zugriff
