Coppermine es un script multipropósito escrito en PHP para galerias de imagenes en web.
Cross-Site Scripting
En el script mode.php no se realiza una correcta verificación del parametro "refer", lo que puede llevar a un atacante a incluir código Javascript.
Inclusión Local de archivos
En el script viewlog.php no se realiza una correcta verificación del parametro "log", un atacante podría incluir archivos locales para obtener información del servidor, como el archivo /etc/passwd. (Se requiere permisos de administrador).
Insercción de código JavaScript en el archivo mode.php, con el cuál es posible obtener las credenciales de autenticación de un usuario.
En el archivo viewlog.php inclusión de archivos locales, para obtener inforción sobre el servidor.
Actualizar a la última versión.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT