CVE-2024-46879Tiki Wiki CMS Groupware 21.2版本中的tiki-admin_system.php文件存在反射型跨站脚本(XSS)漏洞。该漏洞源于POST请求参数zipPath未经过滤,攻击者可诱导已登录用户点击特制链接,导致恶意JavaScript代码在受害者浏览器中执行,进而窃取敏感信息或执行未授权操作。
该漏洞属于反射型跨站脚本攻击(Reflected XSS)。在Tiki CMS 21.2版本中,系统管理文件tiki-admin_system.php接收POST请求参数时,未对'zipPath'参数进行严格的输入验证和HTML实体编码。攻击者可以构造包含恶意脚本(如<script>alert(1)</script>)的POST数据包。由于CVSS向量显示需要用户交互(UI:R)且具有低权限(PR:L),攻击者通常需要进行社会工程学攻击(如钓鱼邮件),诱骗具有访问权限的用户点击发送恶意请求的链接。当服务器响应请求时,未经过滤的payload会被直接反射回页面并在浏览器端解析执行。这允许攻击者劫持用户会话、篡改网页内容或以用户身份执行恶意操作。