forum.coppermine-gallery.net
Support => Español (Spanish) => Closed boards => Language Specific Support => cpg1.4.x Español (Spanish) => Topic started by: Fabricio Ferrero on May 03, 2009, 01:41:38 am
-
El equipo de desarrollo de Coppermine ha lanzado la versión 1.4.22. Esta actualización es por motivos de seguridad y es obligatorio que todos actualicen inmediatamente a dicha versión.
Descargá la version completa de Coppermine Photo Gallery v1.4.22 (desde aqui (http://sourceforge.net/project/showfiles.php?group_id=89658)) y actualiza toda la galeria por completo salvo el archivo 'anycontent.php', el archivo 'config.inc.php' (de la carpeta include) y la carpeta 'albums'. Luego de subir todos los archivos, no te olvides de ejecutar el archivo "update.php" desde el navegador.
Para aquellos que quieran actualizar la galería manualmente, abri el archivo docs/showdoc.php y buscá:
// harden against expolits: check the requested vars, replace illegal chars
$file = stripslashes($file);
$forbidden_chars = array("..", "/", "%", "<", ">", "$", "'", '"');
$file = str_replace($forbidden_chars, '', $file);
Y remplazalas por las siguientes lineas:
// harden against expolits: check the requested vars, replace illegal chars
$file = stripslashes($file);
$forbidden_chars = array("..", "/", "%", "<", ">", "$", "'", '"');
$file = str_replace($forbidden_chars, '', $file);
$add_stylesheet = str_replace($forbidden_chars, '', $add_stylesheet);
La versión 1.4.22 fue lanzada porque se descubrió una vulnerabilidad de Cross site scripting (http://es.wikipedia.org/wiki/Cross-site_scripting) la cual hacía posible la inclusión de código malisioso.
Muchas gracias a Gerendi Sandor Attila quién descubrió la vulnerabilidad y a Nibbler que descubrió la solución.
Muchas Gracias,
Equipo Coppermine,
-- Fabricio Ferrero --