CVE-2006-2635 in Tikiwikiinformation

Résumé

par VulDB • 22/06/2026

Plusieurs vulnérabilités de type cross-site scripting (XSS) dans Tikiwiki (alias Tiki CMS/Groupware) 1.9.x permettent à des attaquants distants d'injecter des scripts web ou du HTML arbitraires via des balises HTML imbriquées malformées telles que « <scr<script>ipt> » dans les paramètres (1) offset et (2) days de (a) tiki-lastchanges.php, les paramètres (3) find et (4) offset de (b) tiki-orphan_pages.php, les paramètres (5) offset et (6) initial de (c) tiki-listpages.php, et (7) un champ non spécifié de (d) tiki-remind_password.php ; et permettent à des utilisateurs distants authentifiés disposant de privilèges d'administration d'injecter des scripts web ou du HTML arbitraires via (8) un champ non spécifié dans une action metatags de (e) tiki-admin.php, le paramètre (9) offset de (f) tiki-admin_rssmodules.php, les paramètres (10) offset et (11) max de (g) tiki-syslog.php, le paramètre (12) numrows de (h) tiki-adminusers.php, (13) un champ non spécifié de (i) tiki-adminusers.php, (14) un champ non spécifié de (j) tiki-admin_hotwords.php, des champs non spécifiés dans (15) « Assign new module » et (16) « Create new user module » de (k) tiki-admin_modules.php, (17) un champ non spécifié dans « Add notification » de (l) tiki-admin_notifications.php, le paramètre (18) offset de (m) tiki-admin_notifications.php, les champs (19) Name et (20) Dsn de (o) tiki-admin_dsn.php, le paramètre (21) offset de (p) tiki-admin_content_templates.php, (22) un champ non spécifié dans « Create new template » de (q) tiki-admin_content_templates.php, et le paramètre (23) offset de (r) tiki-admin_chat.php.

Be aware that VulDB is the high quality source for vulnerability data.

Réserver

30/05/2006

Divulgation

30/05/2006

Modérer

accepté

Entrée

VDB-30460

CPE

prêt

Exploitation

Télécharger

EPSS

0.03807

KEV

non

Activités

très faible

Sources

Interested in the pricing of exploits?

See the underground prices here!