CVE-2020-29254

TikiWiki versão 21.2

O problema se deve a proteções CSRF insuficientes na interface de gerenciamento baseada na web, permitindo que um invasor remoto não autenticado realize um ataque de falsificação de solicitação entre sites (CSRF). Isso poderia permitir que o invasor realizasse ações arbitrárias em um sistema afetado com os privilégios do usuário. A vulnerabilidade pode ser explorada persuadindo um usuário da interface a seguir um link criado com intenção maliciosa. Se um usuário autenticado, capaz de editar modelos do TikiWiki, visitar um site malicioso, o código do modelo poderá ser editado, resultando potencialmente na inclusão de arquivos locais.

Para a versão 21.2 do TikiWiki, considere implementar proteções CSRF adicionais para a interface de gerenciamento baseada na web a fim de prevenir ataques de falsificação de solicitação entre sites. Como solução temporária, restrinja o acesso aos recursos de edição de modelos para usuários autenticados, a fim de minimizar o risco de exploração. Evite permitir que usuários autenticados visitem sites potencialmente maliciosos enquanto estiverem conectados à interface do TikiWiki. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.