Avis du CERT-FR

Objet: Vulnérabilités dans TikiWiki

Gestion du document

Référence	CERTA-2011-AVI-657
Titre	Vulnérabilités dans TikiWiki
Date de la première version	22 novembre 2011
Date de la dernière version	22 novembre 2011
Source(s)	Liste des changements de la version de TikiWiki du 11 novembre 2011
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Injection de code indirecte à distance.

Systèmes affectés

TikiWiki, versions antérieures à la version 8.1.

Résumé

TikiWiki est vulnérable à de l'injection de code indirecte à distance.

Description

Des scripts PHP de TikiWiki utilisent des entrées contenues dans l'URL. Deux d'entre eux ne filtrent pas correctement ces entrées. Ces insuffisances sont exploitables par un utilisateur malveillant pour réaliser de l'injection de code indirecte à distance (XSS).

Solution

La version 8.1 de TikiWiki corrige ces vulnérabilités.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Liste des changements de la version de TikiWiki du 11 novembre 2011 :
```
http://tiki.org/ReleaseNotes8.1
```

Gestion détaillée du document

le 22 novembre 2011: version initiale.