[Fixed]: picEditor.php - direktaufruf möglich? verwundbarkeit?

[lamama]

In meinen Server-Logs hab ich vorhin einen einmaligen, direkten Zugriff auf picEditor.php gefunden, out of the blue, von einer IP, die sonst keine anderen Zugriffe hatte:

Code Select Expand

98.xxx.x.xx - - [12/Aug/2008:02:12:27 +0200] "POST http://foto.domain.de/picEditor.php HTTP/1.0 " 403 952 "-" "Winnie Poh"

Tatsächlich läßt sich der PicEditor auch über diesen Aufruf in den Browser zaubern, wenn auch ohne Bild. Ich hätte eigentlich gleich eine Fehlermeldung erwartet, dass man nicht angemeldet ist oder man einen illegalen Aufruf macht. Das erfolgt aber nur, wenn tatsächlich eine Bild-ID > 0 übergeben wird.

Das läßt sich auch bei der CPG-Demo reproduzieren:
http://coppermine-gallery.net/demo/cpg14x/picEditor.php
(auch wenn das vermutlich keinen POST-Request verursachen wird)

Da ich nicht beurteilen kann, ob das erwünschtes Verhalten vom PicEditor ist, ob da eine Verwundbarkeit ist oder ob es sich überhaupt auf einen "Angriff" gehandelt hat, werf ich das hier mal so ins Forum.

[Joachim Müller]

In English: the picEditor can be accessed improperly just by entering the URL without returning an error message. This issue needs looking into - a check needs to be performed to make sure no harm can be done.
Posted the summary in English to make this thread fit for being moved to the bugs board. It has originally been posted on the German support board. Moving.

[Joachim Müller]

Fixed in SVN repository both for the cpg1.4.x and cpg1.5.x trunks. Changes will go into cpg1.4.20. There has been no actual vulnerability, but merely a cosmetical impact.