CVE-2025-34111

Nome do Software Vulnerável e Versões Afetadas Tiki Wiki CMS Groupware versões 15.1 e anteriores

Descrição Existe uma falha de upload arbitrário de arquivos sem autenticação no software Tiki Wiki CMS Groupware. A vulnerabilidade está localizada no conector padrão do componente ELFinder (connector.minimal.php). Isso permite que atacantes remotos carreguem e executem scripts PHP maliciosos no contexto do servidor web devido à falta de validação do tipo de arquivo. Atacantes podem elaborar uma requisição POST para carregar payloads PHP executáveis através da interface do ELFinder exposta em /vendor extra/elfinder/.

Recomendações Versões anteriores à 15.1 são afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.