CPG 1.4.22 Actualización por seguridad - OBLIGATORIO

[Fabricio Ferrero]

El equipo de desarrollo de Coppermine ha lanzado la versión 1.4.22. Esta actualización es por motivos de seguridad y es obligatorio que todos actualicen inmediatamente a dicha versión.

Descargá la version completa de Coppermine Photo Gallery v1.4.22 (desde aqui) y actualiza toda la galeria por completo salvo el archivo 'anycontent.php', el archivo 'config.inc.php' (de la carpeta include) y la carpeta 'albums'. Luego de subir todos los archivos, no te olvides de ejecutar el archivo "update.php" desde el navegador.


Para aquellos que quieran actualizar la galería manualmente, abri el archivo docs/showdoc.php y buscá:

Code Select Expand

// harden against expolits: check the requested vars, replace illegal chars
$file = stripslashes($file);
$forbidden_chars = array("..", "/", "%", "<", ">", "$", "'", '"');
$file = str_replace($forbidden_chars, '', $file);

Y remplazalas por las siguientes lineas:

Code Select Expand

// harden against expolits: check the requested vars, replace illegal chars
$file = stripslashes($file);
$forbidden_chars = array("..", "/", "%", "<", ">", "$", "'", '"');
$file = str_replace($forbidden_chars, '', $file);
$add_stylesheet = str_replace($forbidden_chars, '', $add_stylesheet);


La versión 1.4.22 fue lanzada porque se descubrió una vulnerabilidad de Cross site scripting la cual hacía posible la inclusión de código malisioso.


Muchas gracias a Gerendi Sandor Attila quién descubrió la vulnerabilidad y a Nibbler que descubrió la solución.



Muchas Gracias,

Equipo Coppermine,
-- Fabricio Ferrero --