IDC资讯中心
| bugtraq id | 严重程度 | cve id | 发布日期 | 更新日期 |
| 7300 | 高 | 2003-04-18 | 2003-04-18 |
| 错误类型 | 利用方式 | 威胁类型 |
| 输入验证错误 | 服务器模式 | 普通用户访问权限 |
所影响的操作系统和应用程序
coppermine photo gallery 1.0 rc3
详细描述
coppermine photo gallery实现上存在输入验证漏洞,可以导致远程入侵者以web服务进程的权限在服务器上执行任意命令。由于没有对用户上传文件的文件名做正确的检查,远程入侵者可以上传一个恶意的jpeg文件,此文件其实是一个php脚本,当文件被浏览时脚本即被执行。
测试代码
../uploadfile/200511/20051124114827470.jpg.php?[command]
解决方案
厂商已经在新版的软件中修复了此漏洞:
coppermine photo gallery 1.0 rc3:
coppermine upgrade coppermine 1.1 - beta 2
http://www.chezgreg.net/coppermine/mod.php?mod=downloads&op=viewdownload&cid=2
|
