关键漏洞信息 漏洞名称: Tiki Wiki Unauthenticated File Upload Vulnerability 影响版本: Tiki Wiki <= 15.1 漏洞描述: 该模块利用Tiki Wiki中的文件上传漏洞,允许未授权用户在Web服务器用户的上下文中执行任意代码。 第三方组件: ELFinder - version 2.0,默认示例页面允许文件操作(如上传、删除、重命名、创建目录等),默认配置不进行文件扩展名、内容类型等验证,导致未授权用户可上传PHP文件。 测试环境: Debian 8.x 64-bit 和 Tiki Wiki 15.1 作者: Mehmet Ince 许可证: MSF_LICENSE 参考链接: - https://www.mehmetince.net/exploit/tiki-wiki-unauthenticated-file-upload-vulnerability - https://tiki.org/article434-Security-update-Tiki-15-2-Tiki-14-4-and-Tiki-12-9-released 平台: PHP 披露日期: 2016-07-11 可靠性: 未知 稳定性: 未知 副作用: 未知