正文

Coppermine Photo Gallery 多个输入验证漏洞

admin
admin V管理员 /0 评论 /8 阅读
1231
此篇文章发布距今已超过1274天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Coppermine Photo Gallery 多个输入验证漏洞

  • CNNVD编号:CNNVD-200404-002
    • <!--
  • 危害等级: 中危-->
  • 危害等级: 中危
  • CVE编号: CVE-2004-1986
  • 漏洞类型: 输入验证
  • 发布时间: 2004-04-04
  • 威胁类型: 远程
  • 更新时间: 2005-10-20
  • 厂        商: coppermine
  • 漏洞来源: Janek Vind※ come2w...

漏洞简介

Coppermine Photo Gallery是一款基于WEB的图形库管理程序。 Coppermine Photo Gallery多处对用户提交的输入缺少充分过滤,远程攻击者可以利用这些漏洞执行任意命令,获得COOKIE数据,获得敏感文件路径等信息。 具体问题如下: 1、路径泄露: 直接访问一些配置脚本,可获得敏感路径信息。 2、跨站脚本攻击 coppermine/docs/menu.inc.php\'\'对用户提交URI缺少过滤,攻击者利用这个漏洞可获得敏感信息。 3、任意目录浏览: 如果有PHP-Nuke管理员权限,访问coppermine模块可绕过目录限制访问其他文件。 4、任意命令执行: 如果有PHP-Nuke管理员权限,访问coppermine模块,可在coppermine配置面板部分参数中输入SHELL命令,而以WEB进程权限执行。

漏洞公告

厂商补丁: Coppermine ---------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.chezgreg.net/coppermine/

参考网址

来源: XF 名称: coppermine-modulesphp-directory-traversal(16042) 链接:http://xforce.iss.net/xforce/xfdb/16042 来源: www.waraxe.us 链接:http://www.waraxe.us/index.php?modname=sa&id=26 来源: BID 名称: 10253 链接:http://www.securityfocus.com/bid/10253 来源: SECUNIA 名称: 11524 链接:http://secunia.com/advisories/11524 来源: BUGTRAQ 名称: 20040502 [waraxe-2004-SA#026 - Multiple vulnerabilities in Coppermine Photo Gallery for PhpNuke] 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108360247732014&w=2 来源: OSVDB 名称: 5758 链接:http://www.osvdb.org/5758 来源: SECTRACK 名称: 1010001 链接:http://securitytracker.com/id?1010001

受影响实体

  • Coppermine Coppermine_photo_gallery:1.0_rc3  
    <!--
    2000-1-1
    -->
  • Coppermine Coppermine_photo_gallery:1.1_.0  
    <!--
    2000-1-1
    -->
  • Coppermine Coppermine_photo_gallery:1.1_beta_2  
    <!--
    2000-1-1
    -->
  • Coppermine Coppermine_photo_gallery:1.2  
    <!--
    2000-1-1
    -->
  • Coppermine Coppermine_photo_gallery:1.2.1  
    <!--
    2000-1-1
    -->

补丁

    暂无