forum.coppermine-gallery.net

Dev Board => cpg1.4 Testing/Bugs => cpg1.4 Testing/Bugs: FIXED/CLOSED => Topic started by: lamama on August 12, 2008, 02:54:55 am

Title: [Fixed]: picEditor.php - direktaufruf möglich? verwundbarkeit?
Post by: lamama on August 12, 2008, 02:54:55 am: In meinen Server-Logs hab ich vorhin einen einmaligen, direkten Zugriff auf picEditor.php gefunden, out of the blue, von einer IP, die sonst keine anderen Zugriffe hatte:

Code: [Select]
98.xxx.x.xx - - [12/Aug/2008:02:12:27 +0200] "POST http://foto.domain.de/picEditor.php HTTP/1.0 " 403 952 "-" "Winnie Poh"
Tatsächlich läßt sich der PicEditor auch über diesen Aufruf in den Browser zaubern, wenn auch ohne Bild. Ich hätte eigentlich gleich eine Fehlermeldung erwartet, dass man nicht angemeldet ist oder man einen illegalen Aufruf macht. Das erfolgt aber nur, wenn tatsächlich eine Bild-ID > 0 übergeben wird.

Das läßt sich auch bei der CPG-Demo reproduzieren:
http://coppermine-gallery.net/demo/cpg14x/picEditor.php
(auch wenn das vermutlich keinen POST-Request verursachen wird)

Da ich nicht beurteilen kann, ob das erwünschtes Verhalten vom PicEditor ist, ob da eine Verwundbarkeit ist oder ob es sich überhaupt auf einen "Angriff" gehandelt hat, werf ich das hier mal so ins Forum.
Title: Re: picEditor.php - direktaufruf möglich? verwundbarkeit?
Post by: Joachim Müller on August 12, 2008, 10:08:59 am: In English: the picEditor can be accessed improperly just by entering the URL without returning an error message. This issue needs looking into - a check needs to be performed to make sure no harm can be done.
Posted the summary in English to make this thread fit for being moved to the bugs board. It has originally been posted on the German support board. Moving.
Title: Re: picEditor.php - direktaufruf möglich? verwundbarkeit?
Post by: Joachim Müller on October 18, 2008, 07:12:23 pm: Fixed in SVN repository both for the cpg1.4.x and cpg1.5.x trunks. Changes will go into cpg1.4.20. There has been no actual vulnerability, but merely a cosmetical impact.