Fallos de Cross Site Scripting (XSS) encontrados en el software Tiki-Wiki CMS
Tiki Wiki CMS, versión 20.0 y anteriores.
INCIBE ha coordinado la publicación de una vulnerabilidad en el gestor de contenidos Tiki Wiki, con identificador INCIBE-2020-0134, descubierta por Pablo Sebastián Arias Rodríguez, Rubén Barberà Pérez y Jorge Alberto Palma Reyes de S2Grupo en el CSIRT-CV. Cuenta con un agradecimiento especial al equipo del CSIRT-CV (https://www.csirtcv.gva.es) compuesto por: Lourdes Herrero, Maite Moreno, José Vila, Adrián Antón, Adrián Capdevila, Aurora Villegas, Eva Lleonart, Fernando Cózar, Javier García, Manuel Rosa, Mario Ortiz, Mayte Aranda, Oscar Martínez, Sergio Hernández y Yolanda Olmedo que descubrieron un fallo XSS en el software Tiki-Wiki CMS
Se ha asignado el código CVE-2020-8966 a esta vulnerabilidad. Se ha calculado una puntuación base de 6,5 según CVSS v3; siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N/E:H/RL:W/RC:C/CR:H/IR:X/AR:X/MAV:N/MAC:L/MPR:N/MUI:R/MS:U/MC:H/MI:N/MA:N
Actualizar a la versión 21.0
Algunas páginas php reciben información de un componente ascendente, pero no neutraliza o neutraliza incorrectamente caracteres especiales como "<", ">", y "&". Estos caracteres podrían interpretarse como elementos de secuencias de comandos web cuando se envían a un componente descendente que procesa páginas web.
CWE-80: Neutralización incorrecta de etiquetas HTML relacionadas con scripts en una página web (XSS básico)
Línea temporal
27/11/2019 – Descubrimiento de los investigadores.
04/02/2020 – Investigadores contactan con INCIBE.
21/02/2020 – Tiki-Wiki Security Team confirma la vulnerabilidad a INCIBE.
28/02/2020 – El desarrollador confirma que se han publicado una nueva versión del software y el parche corrector. INCIBE, los investigadores y el desarrollador analizan la solución y acuerdan divulgar el aviso el 31 de marzo.
31/03/2020 – El aviso ha sido publicado por INCIBE.
Todos los avisos incluidos en INCIBE se proporcionan "tal cual" con fines, únicamente, informativos. INCIBE no ofrece garantías de ningún tipo con respecto a la información contenida en el mismo. INCIBE no respalda ningún producto o servicio comercial, mencionado en este aviso.
Si tiene información sobre este aviso, comuníquese con INCIBE como se indica en la sección de asignación y publicación de CVE.