Coppermine Photo Gallery docs/showdoc.php Cross-Site-Scripting

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.0$0-$5k0.00

Zusammenfassunginfo

Es wurde eine Schwachstelle in Coppermine Photo Gallery 1.x entdeckt. Sie wurde als kritisch eingestuft. Betroffen hiervon ist ein unbekannter Ablauf. Durch die Manipulation mit unbekannten Daten kann eine SQL Injection-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle wird mit CVE-2008-0504 vorgenommen. Der Angriff kann remote ausgeführt werden. Ferner existiert ein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.

Detailsinfo

Die Coppermine Photo Gallery ist eine unter der Open Source-Lizenz GPL stehende Webgalerie. Es ist ein serverbasiertes Galeriescript für Bilder, welches auf PHP, MySQL und der Grafikbibliothek Gdlib bzw. ImageMagick basiert. Das Projekt wird als OpenSource entwickelt, ist damit kostenlos und bietet Schnittstellen zu gängigen Forensystemen. Gemäss einer Schwachstelle, die unlängst von Janek Vind veröffentlicht wurde, kann aufgrund eines Fehlers in der Datei docs/showdoc.php Cross-Site-Scripting angestrebt werden, da einige Parameter nur unzureichend validiert werden, bevor sie dem Benutzerz zurückgeliefert werden. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (40054), Exploit-DB (4950), Tenable (31183), SecurityFocus (BID 27509†) und OSVDB (41678†) dokumentiert. Die Einträge VDB-3570, VDB-3571, VDB-40767 und VDB-40766 sind sehr ähnlich. Once again VulDB remains the best source for vulnerability data.

Für den Vulnerability Scanner Nessus wurde am 26.02.2008 ein Plugin mit der ID 31183 (FreeBSD : coppermine -- multiple vulnerabilities (9f581778-e3d4-11dc-bb89-000bcdc1757a)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family FreeBSD Local Security Checks zugeordnet und im Kontext l ausgeführt.

Es ist sicherlich nicht so, dass es sich bei Coppermine um eine schlechte Applikation handelt, wenn man sie auf funktionaler Ebene betrachtet. Sicherheitstechnisch jedoch, stand das Produkt leider nie unter einem sonderlich guten Stern, was sich scheinbar auch im Jahres 2008 nicht geändert hat: Gleich drei Schwachstellen, die allesamt eher als kritisch zu beurteilen sind wurden veröffentlicht und - immerhin - direkt gepatcht. Anwendern sei daher empfohlen, diese baldmöglichst einzuspielen.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.5
VulDB Meta Temp Score: 5.0

VulDB Base Score: 5.5
VulDB Temp Score: 5.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: SQL Injection
CWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 31183
Nessus Name: FreeBSD : coppermine -- multiple vulnerabilities (9f581778-e3d4-11dc-bb89-000bcdc1757a)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍

OpenVAS ID: 60453
OpenVAS Name: FreeBSD Ports: coppermine
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Patch: coppermine-gallery.net

Timelineinfo

21.01.2008 🔍
29.01.2008 +8 Tage 🔍
29.01.2008 +0 Tage 🔍
30.01.2008 +1 Tage 🔍
31.01.2008 +1 Tage 🔍
31.01.2008 +0 Tage 🔍
31.01.2008 +0 Tage 🔍
01.02.2008 +1 Tage 🔍
25.02.2008 +24 Tage 🔍
26.02.2008 +1 Tage 🔍
04.03.2008 +7 Tage 🔍
11.05.2025 +6277 Tage 🔍

Quelleninfo

Hersteller: coppermine-gallery.net

Advisory: coppermine-gallery.net
Person: Janek Vind
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2008-0504 (🔍)
GCVE (CVE): GCVE-0-2008-0504
GCVE (VulDB): GCVE-100-3572
X-Force: 40054
SecurityFocus: 27509 - Coppermine Photo Gallery Multiple SQL Injection Vulnerabilities
Secunia: 28682 - Coppermine Photo Gallery Multiple Vulnerabilities, Highly Critical
OSVDB: 41678 - Coppermine Photo Gallery util.php and reviewcom.php SQL injection
SecurityTracker: 1019285
Vulnerability Center: 17761 - Coppermine Photo Gallery (CPG) < 1.4.15 Multiple SQL Injection Vulnerabilities, Medium
Vupen: ADV-2008-0367

scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍

Eintraginfo

Erstellt: 01.02.2008 13:51
Aktualisierung: 11.05.2025 05:54
Anpassungen: 01.02.2008 13:51 (85), 06.08.2019 09:18 (11), 11.05.2025 05:54 (20)
Komplett: 🔍
Editor: stfr
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you need the next level of professionalism?

Upgrade your account now!