收藏到QQ书签| BUGTRAQ ID | 严重程度 | CVE ID | 发布日期 | 更新日期 |
| 7300 | 高 | 2003-04-18 | 2003-04-18 |
| 错误类型 | 利用方式 | 威胁类型 |
| 输入验证错误 | 服务器模式 | 普通用户访问权限 |
所影响的操作系统和应用程序
Coppermine Photo Gallery 1.0 RC3
详细描述
Coppermine Photo Gallery实现上存在输入验证漏洞,可以导致远程入侵者以Web服务进程的权限在服务器上执行任意命令。由于没有对用户上传文件的文件名做正确的检查,远程入侵者可以上传一个恶意的JPEG文件,此文件其实是一个PHP脚本,当文件被浏览时脚本即被执行。
测试代码
../uploadfile/200511/20051124114827470.jpg.php?[command]
解决方案
厂商已经在新版的软件中修复了此漏洞:
Coppermine Photo Gallery 1.0 RC3:
Coppermine Upgrade Coppermine 1.1 - Beta 2
http://www.chezgreg.net/coppermine/mod.php?mod=downloads&op=viewdownload&cid=2
|