Coppermine Photo Gallery PHP代码注入漏洞-PHP教程,PHP应用

精彩推荐

分类最新教程

分类热点教程

Coppermine Photo Gallery PHP代码注入漏洞

作者：未知

日期：2005-11-24

人气：

投稿：(转贴)

来源：未知

字体：大中小

收藏：加入浏览器收藏

以下正文：

BUGTRAQ ID	严重程度	CVE ID	发布日期	更新日期
7300	高		2003-04-18	2003-04-18

错误类型	利用方式	威胁类型
输入验证错误	服务器模式	普通用户访问权限

所影响的操作系统和应用程序

Coppermine Photo Gallery 1.0 RC3

详细描述

Coppermine Photo Gallery实现上存在输入验证漏洞，可以导致远程入侵者以Web服务进程的权限在服务器上执行任意命令。由于没有对用户上传文件的文件名做正确的检查，远程入侵者可以上传一个恶意的JPEG文件，此文件其实是一个PHP脚本，当文件被浏览时脚本即被执行。

测试代码

../uploadfile/200511/20051124114827470.jpg.php?[command]

解决方案

厂商已经在新版的软件中修复了此漏洞：

Coppermine Photo Gallery 1.0 RC3:
      Coppermine Upgrade Coppermine 1.1 - Beta 2
      http://www.chezgreg.net/coppermine/mod.php?mod=downloads&op=viewdownload&cid=2

相关文章：