S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 22 novembre 2011
N° CERTA-2011-AVI-657
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans TikiWiki

Gestion du document

Référence CERTA-2011-AVI-657
Titre Vulnérabilités dans TikiWiki
Date de la première version22 novembre 2011
Date de la dernière version22 novembre 2011
Source(s) Liste des changements de la version de TikiWiki du 11 novembre 2011

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Injection de code indirecte à distance

Systèmes affectés

TikiWiki, versions antérieures à la version 8.1.

Résumé

TikiWiki est vulnérable à de l'injection de code indirecte à distance.

Description

Des scripts PHP de TikiWiki utilisent des entrées contenues dans l'URL. Deux d'entre eux ne filtrent pas correctement ces entrées. Ces insuffisances sont exploitables par un utilisateur malveillant pour réaliser de l'injection de code indirecte à distance (XSS).

Solution

La version 8.1 de TikiWiki corrige ces vulnérabilités.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 22 novembre 2011
    version initiale.