[Fixed]: picEditor.php - direktaufruf möglich? verwundbarkeit? [Fixed]: picEditor.php - direktaufruf möglich? verwundbarkeit?
 

News:

CPG Release 1.6.26
Correct PHP8.2 issues with user and language managers.
Additional fixes for PHP 8.2
Correct PHP8 error with SMF 2.0 bridge.
Correct IPTC supplimental category parsing.
Download and info HERE

Main Menu

[Fixed]: picEditor.php - direktaufruf möglich? verwundbarkeit?

Started by lamama, August 12, 2008, 02:54:55 AM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

lamama

In meinen Server-Logs hab ich vorhin einen einmaligen, direkten Zugriff auf picEditor.php gefunden, out of the blue, von einer IP, die sonst keine anderen Zugriffe hatte:

98.xxx.x.xx - - [12/Aug/2008:02:12:27 +0200] "POST http://foto.domain.de/picEditor.php HTTP/1.0 " 403 952 "-" "Winnie Poh"

Tatsächlich läßt sich der PicEditor auch über diesen Aufruf in den Browser zaubern, wenn auch ohne Bild. Ich hätte eigentlich gleich eine Fehlermeldung erwartet, dass man nicht angemeldet ist oder man einen illegalen Aufruf macht. Das erfolgt aber nur, wenn tatsächlich eine Bild-ID > 0 übergeben wird.

Das läßt sich auch bei der CPG-Demo reproduzieren:
http://coppermine-gallery.net/demo/cpg14x/picEditor.php
(auch wenn das vermutlich keinen POST-Request verursachen wird)

Da ich nicht beurteilen kann, ob das erwünschtes Verhalten vom PicEditor ist, ob da eine Verwundbarkeit ist oder ob es sich überhaupt auf einen "Angriff" gehandelt hat, werf ich das hier mal so ins Forum.

Joachim Müller

In English: the picEditor can be accessed improperly just by entering the URL without returning an error message. This issue needs looking into - a check needs to be performed to make sure no harm can be done.
Posted the summary in English to make this thread fit for being moved to the bugs board. It has originally been posted on the German support board. Moving.

Joachim Müller

Fixed in SVN repository both for the cpg1.4.x and cpg1.5.x trunks. Changes will go into cpg1.4.20. There has been no actual vulnerability, but merely a cosmetical impact.