Er is een kritiek beveiligingslek ontdekt in Tiki Wiki CMS Groupware versie 15.1 en eerder. Deze kwetsbaarheid, aangeduid als CVE-2025-34111, geeft aanvallers de mogelijkheid om schadelijke PHP-scripts te uploaden en uit te voeren op de webserver zonder dat authenticatie vereist is.
De kwetsbare ELFinder-component, bereikbaar via /vendor_extra/elfinder/php/connector.minimal.php, valideert de bestandstypen niet, waardoor kwaadwillenden in staat zijn om goedgemanipuleerde POST-verzoeken te verzenden.
Overzicht
De kwetsbaarheid maakt gebruik van een fout in de bestandstype-validatie binnen de ELFinder-component van Tiki Wiki CMS Groupware, waardoor externe aanvallers zonder authenticatie toegang krijgen.
Aanbevelingen
- Update onmiddellijk naar een gepatchte versie van Tiki Wiki, bij voorkeur versie 15.2 of hoger.
- Controleer en beperk toegangsrechten tot de
/vendor_extra/elfinder/directory.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-34111?
Het is een beveiligingslek binnen Tiki Wiki waardoor ongeauthenticeerde bestand upload mogelijk is.
Welke systemen zijn kwetsbaar voor CVE-2025-34111?
Tiki Wiki CMS Groupware versie 15.1 en eerder zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, er is een patch beschikbaar. Update naar Tiki versie 15.2 of hoger.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongeauthenticeerd schadelijke PHP scripts uploaden en uitvoeren op uw server.
