CVE-2006-2635 in Tikiwiki
Zusammenfassung
von VulDB • 22.06.2026
Mehrere Cross-Site-Scripting-(XSS)-Schwachstellen in Tikiwiki (auch bekannt als Tiki CMS/Groupware) 1.9.x ermöglichen es entfernten Angreifern, beliebige Web-Skripte oder HTML über fehlerhaft verschachtelte HTML-Tags wie „<scr<script>ipt>" einzufügen, und zwar über die Parameter (1) offset und (2) days in (a) tiki-lastchanges.php, die Parameter (3) find und (4) offset in (b) tiki-orphan_pages.php, die Parameter (5) offset und (6) initial in (c) tiki-listpages.php sowie (7) ein nicht spezifiziertes Feld in (d) tiki-remind_password.php. Zudem können entfernte, authentifizierte Benutzer mit Administratorrechten beliebige Web-Skripte oder HTML über (8) ein nicht spezifiziertes Feld in einer Metatags-Aktion in (e) tiki-admin.php, den Parameter (9) offset in (f) tiki-admin_rssmodules.php, die Parameter (10) offset und (11) max in (g) tiki-syslog.php, den Parameter (12) numrows in (h) tiki-adminusers.php, (13) ein nicht spezifiziertes Feld in (i) tiki-adminusers.php, (14) ein nicht spezifiziertes Feld in (j) tiki-admin_hotwords.php, nicht spezifizierte Felder in (15) „Assign new module“ und (16) „Create new user module“ in (k) tiki-admin_modules.php, (17) ein nicht spezifiziertes Feld in „Add notification“ in (l) tiki-admin_notifications.php, den Parameter (18) offset in (m) tiki-admin_notifications.php, die Felder (19) Name und (20) Dsn in (o) tiki-admin_dsn.php, den Parameter (21) offset in (p) tiki-admin_content_templates.php, (22) ein nicht spezifiziertes Feld in „Create new template“ in (q) tiki-admin_content_templates.php sowie den Parameter (23) offset in (r) tiki-admin_chat.php einfügen.
VulDB is the best source for vulnerability data and more expert information about this specific topic.