CVE-2024-46878 CVSS 5.4 中危

CVE-2024-46878 Tiki CMS跨站脚本漏洞

披露日期: 2026-03-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2024-46878

漏洞类型

跨站脚本 (XSS)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Tiki Wiki CMS Groupware

漏洞概述

Tiki Wiki CMS Groupware 26.3及更早版本中的tiki-editpage.php组件存在跨站脚本漏洞。由于未对page参数进行充分过滤，攻击者可构造恶意链接。一旦用户访问，便会在其浏览器中执行任意JavaScript代码。这可能导致敏感信息泄露、会话劫持或执行未授权操作，对系统安全构成中等风险。

技术细节

该漏洞的根源在于Tiki CMS的`tiki-editpage.php`文件在处理`page`参数时，未能实施严格的输入验证和上下文相关的输出编码。攻击者可以精心构造包含恶意JavaScript代码的URL，例如将`<script>`标签注入到参数中。当受害者（特别是拥有低权限账户的用户）被诱导访问此URL时，服务器会直接将未经处理的参数值反射回HTML响应中。由于CVSS向量包含S:C（范围改变），这意味着攻击者可以利用受害者的浏览器会话，绕过同源策略限制，进而窃取Cookie、会话令牌等敏感凭证，甚至以受害者身份执行未授权的管理操作。这种攻击通常结合社会工程学手段进行，如钓鱼邮件，利用了UI:R（需要用户交互）的条件。成功利用此漏洞可能导致客户端主机被控制或在服务器端执行非预期操作，严重影响系统的机密性和完整性。

攻击链分析

STEP 1

侦察

攻击者识别目标系统使用的是Tiki Wiki CMS Groupware 26.3或更早版本。

STEP 2

构造载荷

攻击者利用page参数，构造包含恶意JavaScript代码的URL，例如注入<script>标签。

STEP 3

传递载荷

通过钓鱼邮件或即时通讯工具，将恶意URL发送给已登录的低权限用户。

STEP 4

触发漏洞

受害者点击链接，浏览器向服务器发送请求，page参数未被过滤直接反射到响应页面。

STEP 5

执行攻击

恶意脚本在受害者浏览器中执行，窃取Session Cookie或执行未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2024-46878
// The vulnerability is located in the 'page' parameter of tiki-editpage.php

// Payload to demonstrate XSS execution
var payload = '<script>alert(\'CVE-2024-46878-XSS\');</script>';

// Construct the malicious URL
var targetUrl = 'http://target-domain/tiki-editpage.php?page=' + encodeURIComponent(payload);

// Simulate sending the link to a victim (Social Engineering)
console.log('Send this URL to an authenticated user: ' + targetUrl);

// When the user clicks, the script executes in the context of the victim's browser session.

影响范围

Tiki Wiki CMS Groupware <= 26.3

防御指南

临时缓解措施

建议立即升级到官方修复版本。如暂时无法升级，应限制对tiki-editpage.php的访问，或通过WAF添加规则过滤包含恶意脚本字符的请求参数，并对用户进行安全意识教育，避免点击不明链接。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表