[Fixed]: picEditor.php - direktaufruf möglich? verwundbarkeit? [Fixed]: picEditor.php - direktaufruf möglich? verwundbarkeit?
 

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Main Menu

[Fixed]: picEditor.php - direktaufruf möglich? verwundbarkeit?

Started by lamama, August 12, 2008, 02:54:55 AM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

lamama

In meinen Server-Logs hab ich vorhin einen einmaligen, direkten Zugriff auf picEditor.php gefunden, out of the blue, von einer IP, die sonst keine anderen Zugriffe hatte:

98.xxx.x.xx - - [12/Aug/2008:02:12:27 +0200] "POST http://foto.domain.de/picEditor.php HTTP/1.0 " 403 952 "-" "Winnie Poh"

Tatsächlich läßt sich der PicEditor auch über diesen Aufruf in den Browser zaubern, wenn auch ohne Bild. Ich hätte eigentlich gleich eine Fehlermeldung erwartet, dass man nicht angemeldet ist oder man einen illegalen Aufruf macht. Das erfolgt aber nur, wenn tatsächlich eine Bild-ID > 0 übergeben wird.

Das läßt sich auch bei der CPG-Demo reproduzieren:
http://coppermine-gallery.net/demo/cpg14x/picEditor.php
(auch wenn das vermutlich keinen POST-Request verursachen wird)

Da ich nicht beurteilen kann, ob das erwünschtes Verhalten vom PicEditor ist, ob da eine Verwundbarkeit ist oder ob es sich überhaupt auf einen "Angriff" gehandelt hat, werf ich das hier mal so ins Forum.

Joachim Müller

In English: the picEditor can be accessed improperly just by entering the URL without returning an error message. This issue needs looking into - a check needs to be performed to make sure no harm can be done.
Posted the summary in English to make this thread fit for being moved to the bugs board. It has originally been posted on the German support board. Moving.

Joachim Müller

Fixed in SVN repository both for the cpg1.4.x and cpg1.5.x trunks. Changes will go into cpg1.4.20. There has been no actual vulnerability, but merely a cosmetical impact.