Er is een kritieke kwetsbaarheid ontdekt in de Tiki Wiki CMS versies ≤14.1, ≤12.4 LTS, ≤9.10 LTS en ≤6.14. Via de viewmode GET-parameter in tiki-calendar.php kunnen aanvallers op afstand willekeurige PHP-code uitvoeren. Dit gebeurt wanneer de kalendermodule is ingeschakeld en een geauthenticeerde gebruiker toegang heeft.
Overzicht
Dit beveiligingslek, aangeduid als CVE-2025-34113, maakt het mogelijk voor aanvallers om het systeem van binnenuit te compromitteren als ze toegang hebben tot de kalender. Deze kwetsbaarheid kan leiden tot volledige controle over het systeem vanuit de context van de webservergebruiker.
Aanbevelingen
- Controleer of uw systeem een van de aangedane versies van Wiki CMS Groupware gebruikt: ≤14.1, ≤12.4 LTS, ≤9.10 LTS en ≤6.14. Indien ja, update onmiddellijk naar een gepatchte versie.
- Schakel de kalendermodule uit totdat een update is doorgevoerd.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-34113?
Dit is een geauthenticeerde command-injectie kwetsbaarheid in Tiki Wiki CMS, die aanvallers in staat stelt kwetsbare servers over te nemen.
Welke systemen zijn kwetsbaar voor CVE-2025-34113?
Versies van Tiki Wiki CMS ≤14.1, ≤12.4 LTS, ≤9.10 LTS en ≤6.14 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, er is een officiële patch beschikbaar. Raadpleeg de vendor advisory voor meer informatie.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan willekeurige PHP-code uitvoeren en zodoende volledige controle over het systeem verkrijgen.
