N/A

Cross-Site Request Forgery (CSRF) vulnerability via IMG element in Tiki before 16.3, 17.x before 17.1, 12 LTS before 12.12 LTS, and 15 LTS before 15.5 LTS allows an authenticated user to edit global permissions if an administrator opens a wiki page with an IMG element, related to tiki-objectpermissions.php. For example, an attacker could assign administrator privileges to every unauthenticated user of the site.

N/A

N/A

Tiki 跨站请求伪造漏洞

Tiki是Tiki软件社区的一套开源的内容管理和门户应用程序，它可用于创建Web应用程序、门户网站、企业内部网、外联网等。 Tiki中存在跨站请求伪造漏洞。远程攻击者可借助IMG元素利用该漏洞执行未授权的操作（如：对未经身份验证的用户分配管理员权限）。以下版本受到影响：Tiki 16.3之前的版本，17.1之前的17.x版本，12.12 LTS之前的12 LTS版本，15.5 LTS之前的15 LTS版本。

N/A

N/A