Coppermine Photo Gallery keysToSkip 參數覆寫
medium Nessus Plugin ID 35765
語系:
概要
遠端 Web 伺服器中有一個 PHP 應用程式受到資料修改弱點的影響。說明
遠端主機上安裝的 Coppermine Photo Gallery 版本在 'include/init.inc.php' 的 anti-register_globals 保護程式碼中存有一個缺陷。若已啟用 PHP 的 'register_globals' 設定,未經驗證的遠端攻擊者或可利用此問題,使用特製要求覆寫任意變數,進而在需要 Web 伺服器使用者 ID 權限的遠端主機上使用任意程式碼上傳並執行檔案,或讀取任意檔案的內容。解決方案
升級至 Coppermine Photo Gallery 1.4.20 或更新版本。另請參閱
http://forum.coppermine-gallery.net/index.php/topic,57882.0.html
Plugin 詳細資訊
嚴重性: Medium
ID: 35765
檔案名稱: coppermine_keystoskip_var_overwrite.nasl
版本: 1.14
類型: remote
系列: CGI abuses
已發布: 2009/3/4
已更新: 2022/6/1
組態: 啟用徹底檢查
支援的感應器: Nessus
弱點資訊
必要的 KB 項目: www/PHP
排除在外的 KB 項目: Settings/disable_cgi_scanning
可被惡意程式利用: true
可輕鬆利用: Exploits are available
由 Nessus 利用: true
參考資訊
BID: 33514
Secunia: 33748