Se han reportado tres vulnerabilidades en Piwigo Photo
Gallery, de las cuales dos son consideradas de gravedad alta y la última de
gravedad media. Estas podrían permitir a un atacante remoto ejecutar código
arbitrario dentro del sistema y realizar ataques de tipo XSS (Cross-Site
Scripting). Las vulnerabilidades han sido reportadas de manera interna a través
de GitHub.
Piwigo Photo Gallery, es una galería de álbumes web
totalmente gratuita con la que se puede organizar y compartir fotos. Permite
añadir nuevas funciones y personalizar las galerías con las
"extensiones" desarrolladas por la comunidad.
En el primer problema, con CVE-2016-10083, podría
permitir a un atacante remoto autenticado realizar ataques XSS (Cross-Site
Scripting) e inyectar código Javascript a través de nombres de ficheros
especialmente manipulados. La vulnerabilidad, en 'admin/plugin.php', se debe a
un defecto de gestión de nombres de archivos en determinados escenarios de
errores.
Recordamos que un ataque Cross-site Scripting (o XSS) se
basa en que una página web no filtra correctamente ciertos caracteres
especiales y permite ejecutar código JavaScript.
Mediante el segundo problema, con CVE-2016-10084, un
atacante remoto con privilegios administrativos en el sistema podría llevar a
cabo ataques de Inclusión Remota de Archivos y potencialmente ejecutar código
arbitrario dentro del sistema través de párametros especialmente manipulados.
La vulnerabilidad en 'admin/batch_manager.php' se debe a una falta de
comprobación en el uso de la variable '$page['tab']' en include().
La vulnerabilidades de Inclusión Remota de Archivos o
"File inclusion" se dan en páginas dinámicas en PHP al permitir la
inclusión remota de archivos por una falta de filtrado adecuado al usar la
función include().
El último problema, con CVE-2016-10085, podría permitir a
un atacante remoto con privilegios administrativos en el sistema realizar una
Inclusión Remota de Archivos y potencialmente ejecutar código arbitrario dentro
del sistema través de parámetros especialmente manipulados. La vulnerabilidad
en 'admin/languages.php', se debe a una falta de comprobación en el uso de la
variable '$page['tab']' en include().
Las vulnerabilidades han sido reportadas de manera interna a través de GitHub y afectan a Piwigo 2.8.3 y versiones anteriores
Recomendación
Se recomienda actualizar a la versión 2.8.5 (o superior)
disponible en:
- https://github.com/Piwigo/Piwigo/commit/7df3830c81716b959a2d0d3a0d8216b860ae0dc7
- https://github.com/Piwigo/Piwigo/commit/9dd92959f6975099e0c62163a846a4648a6a920f
- https://github.com/Piwigo/Piwigo/commit/4b33a0fd199fd445b15a49927ea6a9a153e3877d
- Cross Site Scripting #575 https://github.com/Piwigo/Piwigo/issues/575
- File Inclusion Attack #572 https://github.com/Piwigo/Piwigo/issues/572
- File Inclusion Attack #2 https://github.com/Piwigo/Piwigo/issues/573
- Piwigo http://piwigo.org/