检测

FreeBSD:piwigo -- CSRF/路径遍历 (edd201a5-8fc3-11e2-b131-000c299b62e1)

high Nessus 插件 ID 65624

语言:

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

High-Tech Bridge Security Research Lab 报告:

存在 CSRF 漏洞的原因是对“/admin.php”脚本中的 HTTP 请求来源的不充分验证。远程攻击者可诱骗已登录的管理员访问特别构建的网页并在远程服务器上创建任意 PHP 文件。

存在路径遍历漏洞的原因是对用户向“/install.php”脚本的“dl”HTTP GET 参数提供的输入的不充分过滤。该脚本默认在安装之后存在于系统中,攻击者可在不受任何限制的情况下访问。

解决方案

更新受影响的程序包。

另见

http://piwigo.org/bugs/view.php?id=0002843

http://piwigo.org/bugs/view.php?id=0002844

http://www.nessus.org/u?505a28f2

http://www.nessus.org/u?f2e0ceeb

插件详情

严重性: High

ID: 65624

文件名: freebsd_pkg_edd201a58fc311e2b131000c299b62e1.nasl

版本: 1.7

类型: local

发布时间: 2013/3/20

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.6

矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

漏洞信息

CPE: cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:piwigo

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2013/3/18

漏洞发布日期: 2013/2/6

参考资料信息

CVE: CVE-2013-1468, CVE-2013-1469