微点交流论坛

标题: Coppermine Photo Gallery多个漏洞 [打印本页]

作者: pioneer 时间: 2008-2-2 10:43 标题: Coppermine Photo Gallery多个漏洞

来源

secunia.com

软件名

Coppermine Photo Gallery 1.x

描述

这可恶意进行跨站脚本攻击，恶意进行sql注入攻击或危害受影响的系统

1)传递到util.php的不特定参数在用于sql查询前没有被准确过滤，这可通过注入任意sql命令导致操控sql查询

2)传递到include/imageObjectIM.class.php的不特定参数在执行命令前没有被准确过滤，这可通过包含受影响参数的
shell escape character导致执行任意命令
执行成功需要有效的用户认证

3)传递到docs/showdoc.php中输入的"h"和"t"参数在返回到用户前没有被准确过滤，这可导致用户浏览器浏览受影响的网页
时，执行任意HTML和脚本代码。

解决方案

更新到V1.4.15

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn