Se han reportado tres vulnerabilidades en Piwigo Photo Gallery, de las cuales dos son consideradas de gravedad alta y la última de gravedad media. Estas podrían permitir a un atacante remoto ejecutar código arbitrario dentro del sistema y realizar ataques de tipo XSS (Cross-Site Scripting). Las vulnerabilidades han sido reportadas de manera interna a través de GitHub.Piwigo Photo Gallery, es una galería de álbumes web totalmente gratuita con la que se puede organizar y compartir fotos. Permite añadir nuevas funciones y personalizar las galerías con las "extensiones" desarrolladas por la comunidad.
En el primer problema, con CVE-2016-10083, podría permitir a un atacante remoto autenticado realizar ataques XSS (Cross-Site Scripting) e inyectar código Javascript a través de nombres de ficheros especialmente manipulados. La vulnerabilidad, en 'admin/plugin.php', se debe a un defecto de gestión de nombres de archivos en determinados escenarios de errores.
Recordamos que un ataque Cross-site Scripting (o XSS) se basa en que una página web no filtra correctamente ciertos caracteres especiales y permite ejecutar código JavaScript.
Mediante el segundo problema, con CVE-2016-10084, un atacante remoto con privilegios administrativos en el sistema podría llevar a cabo ataques de Inclusión Remota de Archivos y potencialmente ejecutar código arbitrario dentro del sistema través de párametros especialmente manipulados. La vulnerabilidad en 'admin/batch_manager.php' se debe a una falta de comprobación en el uso de la variable '$page['tab']' en include().
La vulnerabilidades de Inclusión Remota de Archivos o "File inclusion" se dan en páginas dinámicas en PHP al permitir la inclusión remota de archivos por una falta de filtrado adecuado al usar la función include().
El último problema, con CVE-2016-10085, podría permitir a un atacante remoto con privilegios administrativos en el sistema realizar una Inclusión Remota de Archivos y potencialmente ejecutar código arbitrario dentro del sistema través de parámetros especialmente manipulados. La vulnerabilidad en 'admin/languages.php', se debe a una falta de comprobación en el uso de la variable '$page['tab']' en include().
Las vulnerabilidades han sido reportadas de manera interna a través de GitHub y afectan a Piwigo 2.8.3 y versiones anteriores
Se recomienda actualizar a la versión 2.8.5 (o superior) disponible en:
http://piwigo.org/basics/downloads
o aplicar los siguientes parches:
https://github.com/Piwigo/Piwigo/commit/7df3830c81716b959a2d0d3a0d8216b860ae0dc7
https://github.com/Piwigo/Piwigo/commit/9dd92959f6975099e0c62163a846a4648a6a920f
https://github.com/Piwigo/Piwigo/commit/4b33a0fd199fd445b15a49927ea6a9a153e3877d
Más información:
Cross Site Scripting #575
https://github.com/Piwigo/Piwigo/issues/575
File Inclusion Attack #572
https://github.com/Piwigo/Piwigo/issues/572
File Inclusion Attack #2
https://github.com/Piwigo/Piwigo/issues/573
Piwigo
