漏洞名稱： TikiWiki Unauthorized File Upload Vulnerability
漏洞編號： ICST-CA-2004-256
漏洞說明： TikiWiki被指出遠端使用者可以不經過授權就能上傳任何附檔名的檔案到主機上。

該漏洞能夠被有心人士利用，上傳含有木馬的PHP檔，並且讓它被其他執行。用其他語言撰寫的Script也可以使用類似手法讓它被Web server執行，如果Web server有設定該語言的script handler。

成功的入侵會導致Web server執行來路不明的程式碼。

報告指出入侵者必須要有足夠的權限上傳圖片檔至Wiki。


影響平台： TikiWiki Project TikiWiki 1.7.1 .1
TikiWiki Project TikiWiki 1.7.2
TikiWiki Project TikiWiki 1.7.3
TikiWiki Project TikiWiki 1.7.4
TikiWiki Project TikiWiki 1.7.5
TikiWiki Project TikiWiki 1.7.6
TikiWiki Project TikiWiki 1.7.7
TikiWiki Project TikiWiki 1.7.8
TikiWiki Project TikiWiki 1.8
TikiWiki Project TikiWiki 1.8.1
TikiWiki Project TikiWiki 1.8.2
TikiWiki Project TikiWiki 1.8.3
TikiWiki Project TikiWiki 1.8.4
TikiWiki Project TikiWiki 1.9 -rc3
TikiWiki Project TikiWiki 1.9 -rc2
TikiWiki Project TikiWiki 1.9 -rc1


影響狀況： 使用者可以上傳任何附檔名的Script檔，並且讓Web server執行。


解決方案： 下面幾個版本不受影響：
TikiWiki Project TikiWiki 1.7.9
TikiWiki Project TikiWiki 1.8.5
TikiWiki Project TikiWiki 1.9 -rc3.1


參考資料： TikiWiki Unauthorized File Upload Vulnerability