Ungepatcht: Kritische Lücken in Coppermine Photo Gallery

Die Schwachstelle lässt sich ausnutzen, um Sicherheitsrichtlinien zu umgehen. Im schlimmsten Fall kann sich ein Angreifer Systemzugriff ergaunern. Der Fehler liegt in der Datei include/init.inc.php. Damit lassen sich beliebige Variablen überschreiben und zum Beispiel beliebige PHP-Scripte mittels picEditor.php ausführen. Ein erfolgreicher Angriff setzt voraus, dass „register_globals“ aktiviert ist.

Bestätigt ist die Schwachstelle für Coppermine Photo Gallery 1.4.19. Andere Versionen könnten ebenfalls betroffen sein. Ein Update steht derzeit nicht zur Verfügung. Die einzige Lösung ist, register_globals zu deaktivieren. (jdo)