Uma vulnerabilidade na popular plataforma TikiWiki CMS permitiu que um invasor não autenticado contornasse o processo de login para obter acesso remoto às contas de administrador.
TikiWiki é um sistema de gerenciamento de conteúdo (CMS) baseado em wiki de código aberto para sites e intranet que dizem ter sido baixado mais de um milhão de vezes desde seu lançamento, 18 anos atrás.
Um pesquisador de segurança detalhou como uma vulnerabilidade de desvio de autenticação na plataforma pode ser aproveitada para obter o controle total de uma conta de destino.
Detalhando suas descobertas em uma postagem do GitHub , Maximilian Barz, também conhecido como ‘S1lkys’, disse que, nas versões TikiWiki anteriores a 21.2, um invasor é capaz de aplicar força bruta em uma conta de administrador TikiWiki até que ela seja bloqueada após 50 tentativas de login inválidas.
Eles podem usar uma senha vazia para se autenticar como administrador e obter acesso total à conta.
O pesquisador também postou um vídeo de prova de conceito:
Esta vulnerabilidade (CVE-2020-15906) foi atribuída uma pontuação CVSS de 9,3 em 10.
Desde então, ele foi corrigido pelo TikiWiki. Os usuários são aconselhados a atualizar para a versão mais recente (21.2). Correções de segurança também foram lançadas para outras filiais.
Sistema Defesa Civil Alerta é suspenso após 12 alertas falsos com a palavra "misantropia" serem…
Thalha Jubair e Owen Flowers confessaram envolvimento no ataque de 2024 contra a TfL, que…
JFrog descobre três pacotes npm publicados pelo usuário "abdrizak" que fingem ser utilitários PostCSS, instalam…
Novo guia técnico explica passo a passo como atacantes transformam o recurso administrativo Distributed COM…
Anunciamos o lançamento do Plugged Ninja AI (plugged.ninja/ai), nova vertical do site dedicada a explicar…
Pesquisadores da Wake Forest University analisaram 444 aplicativos iOS com funcionalidade LLM e identificaram 282…