Piwigo任意文件泄露和任意文件删除漏洞

admin

Piwigo是用PHP编写的相册脚本。

- `% P9 |5 h1 QPiwigo 2.4.6及其他版本没有正确验证install.php脚本的 'dl'参数值，在实现上存在安全漏洞，攻击者可利用这些漏洞查看受影响计算机上的任意文件，删除受影响应用上下文内的任意文件。
( Q! f3 L, m* z5 o3 t( V) E====================================================================
* O7 g6 a, ?4 d4 o3 R- q* w/ m/install.php:
: n; y7 V# D5 B) `! ?1 `( D8 X5 d-------------
. ]4 R* J! c  S" G! F- M' c, d& b113: if (!empty($_GET['dl']) && file_exists(PHPWG_ROOT_PATH.$conf['data_location'].'pwg_'.$_GET['dl']))
5 y5 L8 m- V( R7 y2 n; N9 S114: {
9 e! ?; r/ {0 Y8 q% i7 t) I3 i3 Y115:   $filename = PHPWG_ROOT_PATH.$conf['data_location'].'pwg_'.$_GET['dl'];
# D* Q2 C2 o" N) h# Y7 C$ B" U116:   header('Cache-Control: no-cache, must-revalidate');
( G4 K" q4 l: q/ L117:   header('Pragma: no-cache');
118:   header('Content-Disposition: attachment; filename="database.inc.php"');
  R2 w/ Q* ?6 T8 k& F. G- q119:   header('Content-Transfer-Encoding: binary');
120:   header('Content-Length: '.filesize($filename));
; |' X4 d5 ~( K) ^) v) b121:   echo file_get_contents($filename);
122:   unlink($filename);
123:   exit();
% `/ |" H7 I. E% t124: }
4 O4 s/ h4 p6 G% F. @4 ]+ n  C====================================================================

Tested on: Microsoft Windows 7 Ultimate SP1 (EN)
           Apache 2.4.2 (Win32)
           PHP 5.4.4
           MySQL 5.5.25a

Vulnerability discovered by Gjoko 'LiquidWorm' Krstic
                            @zeroscience

Advisory ID: ZSL-2013-5127
Advisory URL: http://www.zeroscience.mk/en/vulnerabilities/ZSL-2013-5127.php
Vendor Patch: http://piwigo.org/bugs/view.php?id=2843
: {' h; f1 R, @  K4 s8 f; T/ ]
15.02.2013

; P& [) j) _. p0 \--
http://localhost/piwigo/install.php?dl=../../../../../../lio_passwords.txt

' |- t. X! C4 L) l