Kerentanan pada perangkat lunak Tiki Wiki CMS Groupware, platform open-source berbasis web yang menggabungkan fitur Content Management System (CMS) dan collaboration tools dalam satu paket, versi sebelum 28.3. Kerentanan ini berasal dari plugin wikiplugin_includetpl yang terdapat di file lib/wikiplugins/wikiplugin_includetpl.php. Kerentanan ini terjadi karena input yang diterima oleh plugin ini tidak ditangani dengan benar sebelum dievaluasi menggunakan fungsi eval(). Hal ini memungkinkan penyerang dengan hak istimewa rendah untuk menyisipkan kode berbahaya yang akan dieksekusi di sisi server, berpotensi menyebabkan eksekusi kode arbitrer, pencurian data, atau pengambilalihan sistem.
Langkah Mitigasi:
Segera perbarui Tiki Wiki CMS Groupware ke versi terbaru yang telah menutup celah tersebut. Selain itu, hindari menyisipkan input pengguna langsung ke dalam template tanpa melalui proses validasi atau encoding yang tepat, terutama pada sistem template yang mendukung ekspresi atau logika eksekusi. Sebagai langkah tambahan, aktifkan fitur keamanan seperti sandboxing pada template engine untuk membatasi kemampuan eksekusi kode dari input yang tidak terpercaya.
Unduh Imbauan Keamanan CVE-2025-32461
Sumber:
1. Deputi Bidang Operasi Keamanan Siber dan Sandi BSSN
2. Unplash (sumber gambar)
Sumber:
1. Deputi Bidang Operasi Keamanan Siber dan Sandi BSSN
2. Unplash (sumber gambar)