簡介

Twiki是一款開源的 wiki ，在方便 debug 所使用的參數 debugenableplugins ，未將使用者的輸入做過濾，造成任意 Perl code execution。

Warning

TWiki-6.0.0 (TWikiRelease06x00x00)

TWiki-5.1.x (TWikiRelease05x01x00 to TWikiRelease05x01x04)

TWiki-5.0.x (TWikiRelease05x00x00 to TWikiRelease05x00x02)

TWiki-4.3.x (TWikiRelease04x03x00 to TWikiRelease04x03x02)

TWiki-4.2.x (TWikiRelease04x02x00 to TWikiRelease04x02x04)

TWiki-4.1.x (TWikiRelease04x01x00 to TWikiRelease04x01x02)

TWiki-4.0.x (TWikiRelease04x00x00 to TWikiRelease04x00x05)

問題點

問題出在 Twiki 的 debugenableplugins 參數，Twiki 直接將未過濾的參數名丟入以下 Perl eval 執行：

<verbatim>
my $p = $this->{module};
eval "use $p;";
</verbatim>

結論

盡快升級至最新版本。

參考資料：http://seclists.org/fulldisclosure/2014/Oct/44