Uma vulnerabilidade na popular plataforma TikiWiki CMS permitiu que um invasor não autenticado contornasse o processo de login para obter acesso remoto às contas de administrador.
TikiWiki é um sistema de gerenciamento de conteúdo (CMS) baseado em wiki de código aberto para sites e intranet que dizem ter sido baixado mais de um milhão de vezes desde seu lançamento, 18 anos atrás.
Um pesquisador de segurança detalhou como uma vulnerabilidade de desvio de autenticação na plataforma pode ser aproveitada para obter o controle total de uma conta de destino.
Detalhando suas descobertas em uma postagem do GitHub , Maximilian Barz, também conhecido como ‘S1lkys’, disse que, nas versões TikiWiki anteriores a 21.2, um invasor é capaz de aplicar força bruta em uma conta de administrador TikiWiki até que ela seja bloqueada após 50 tentativas de login inválidas.
Eles podem usar uma senha vazia para se autenticar como administrador e obter acesso total à conta.
O pesquisador também postou um vídeo de prova de conceito:
Esta vulnerabilidade (CVE-2020-15906) foi atribuída uma pontuação CVSS de 9,3 em 10.
Desde então, ele foi corrigido pelo TikiWiki. Os usuários são aconselhados a atualizar para a versão mais recente (21.2). Correções de segurança também foram lançadas para outras filiais.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…