Argitalpen data: 2020/03/30
Garrantzia: Ertaina
Kaltetutako baliabideak:
Tiki Wiki CMS, 20.0 bertsioa eta lehenagokoak.
Azalpena:
INCIBEk koordinatu du Tiki Wiki edukien kudeatzaileak duen ahultasun baten argitalpena, CSIRT-CVko S2Grupo-ko Pablo Sebastián Arias Rodríguez, Rubén Barberà Pérez eta Jorge Alberto Palma Reyes-ek aurkitua. Esker on berezi bat dauka CSIRT-CVko ekipoarentzat (https://www.csirtcv.gva.es), honakoek osatua: Lourdes Herrero, Maite Moreno, José Vila, Adrián Antón, Adrián Capdevila, Aurora Villegas, Eva Lleonart, Fernando Cózar, Javier García, Manuel Rosa, Mario Ortiz, Mayte Aranda, Oscar Martínez, Sergio Hernández eta Yolanda Olmedo. Eurek aurkitu zuten XSS akatsa Tiki-Wiki CMS softwarean.
CVE-2020-8966 kodea esleitu zaio ahultasun horri. CVSS v3-ren arabera 6,5eko oinarrizko puntuazioa kalkulatu da, CVSSren kalkulua honakoa izanik: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N/E:H/RL:W/RC:C/CR:H/IR:X/AR:X/MAV:N/MAC:L/MPR:N/MUI:R/MS:U/MC:H/MI:N/MA:N
Konponbidea:
21.0 bertsiora eguneratzea.
Xehetasuna:
Goranzko osagai baten informazioa jasotzen dute php orri batzuek, baina ez ditu neutralizatzen edo oker neutralizatzen ditu "< ", " >", eta "&" bezalako karaktere bereziak. Karaktere horiek web komandoen sekuentzien elementu modura interpreta litezke, web orrialdeak prozesatzen dituen beheranzko osagai batera bidaltzen direnean.
CWE-80: Web orrialde bateko script-ekin (XSS oinarrizkoa) erlazionatutako HTML etiketen neutralizazio okerra.
Denborazko lerroa
2019/11/27 - Ikertzaileen aurkikuntza.
2020/02/04 - Ikertzaileak harremanetan jarri ziren INCIBErekin.
2020/02/21 - Tiki-Wiki Security Team-ek ahultasuna konfirmatu zion INCIBEri.
2020/02/28 - Garatzaileak konfirmatu zuen softwarearen bertsio berri bat eta partxe zuzentzailea argitaratu zirela. INCIBEk, ikertzaileek eta garatzaileak soluzioa aztertu zuten eta ohartarazpena martxoaren 31n zabaltzea erabaki zuten.
2020/03/31 - INCIBEk ohartarazpena argitaratu zuen
INCIBEn jasotako ohartarazpen guztiak "bere horretan" eskaintzen dira, xede informatzaile hutsarekin. INCIBEk ez du inolako bermerik eskaintzen horietan jasotako informazioari dagokionez. INCIBEk ez du babesten ohartarazpen honetan jasotako inolako produktu edo zerbitzu komertzialik.
Ohartarazpen honi buruzko informaziorik baduzu, harremanetan jarri INCIBErekin ahultasunen jakinarazpenean adierazten den moduan.
Etiketak: 0day, CMS, CNA, Ahultasuna