CPG 1.4.22 Actualización por seguridad - OBLIGATORIO CPG 1.4.22 Actualización por seguridad - OBLIGATORIO
 

News:

CPG Release 1.6.26
Correct PHP8.2 issues with user and language managers.
Additional fixes for PHP 8.2
Correct PHP8 error with SMF 2.0 bridge.
Correct IPTC supplimental category parsing.
Download and info HERE

Main Menu

CPG 1.4.22 Actualización por seguridad - OBLIGATORIO

Started by Fabricio Ferrero, May 03, 2009, 01:41:38 AM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Fabricio Ferrero

El equipo de desarrollo de Coppermine ha lanzado la versión 1.4.22. Esta actualización es por motivos de seguridad y es obligatorio que todos actualicen inmediatamente a dicha versión.

Descargá la version completa de Coppermine Photo Gallery v1.4.22 (desde aqui) y actualiza toda la galeria por completo salvo el archivo 'anycontent.php', el archivo 'config.inc.php' (de la carpeta include) y la carpeta 'albums'. Luego de subir todos los archivos, no te olvides de ejecutar el archivo "update.php" desde el navegador.


Para aquellos que quieran actualizar la galería manualmente, abri el archivo docs/showdoc.php y buscá:

// harden against expolits: check the requested vars, replace illegal chars
$file = stripslashes($file);
$forbidden_chars = array("..", "/", "%", "<", ">", "$", "'", '"');
$file = str_replace($forbidden_chars, '', $file);


Y remplazalas por las siguientes lineas:

// harden against expolits: check the requested vars, replace illegal chars
$file = stripslashes($file);
$forbidden_chars = array("..", "/", "%", "<", ">", "$", "'", '"');
$file = str_replace($forbidden_chars, '', $file);
$add_stylesheet = str_replace($forbidden_chars, '', $add_stylesheet);



La versión 1.4.22 fue lanzada porque se descubrió una vulnerabilidad de Cross site scripting la cual hacía posible la inclusión de código malisioso.


Muchas gracias a Gerendi Sandor Attila quién descubrió la vulnerabilidad y a Nibbler que descubrió la solución.



Muchas Gracias,

Equipo Coppermine,
-- Fabricio Ferrero --
Read Docs and Search the Forum before posting. - Soporte en español
--*--
Fabricio Ferrero's Website

Catching up! :)