Die Schwachstelle lässt sich ausnutzen, um Sicherheitsrichtlinien zu umgehen. Im schlimmsten Fall kann sich ein Angreifer Systemzugriff ergaunern. Der Fehler liegt in der Datei include/init.inc.php. Damit lassen sich beliebige Variablen überschreiben und zum Beispiel beliebige PHP-Scripte mittels picEditor.php ausführen. Ein erfolgreicher Angriff setzt voraus, dass „register_globals“ aktiviert ist.
Bestätigt ist die Schwachstelle für Coppermine Photo Gallery 1.4.19. Andere Versionen könnten ebenfalls betroffen sein. Ein Update steht derzeit nicht zur Verfügung. Die einzige Lösung ist, register_globals zu deaktivieren. (jdo)