Coppermine Photo Gallery跨站脚本及SQL注入漏洞

关于 Coppermine Photo Gallery 的安全更新

受影响的系统：

Coppermine Photo Gallery 版本 1.4.14

未受影响系统：

Coppermine Photo Gallery 版本 1.4.15

描述：

Coppermine是一款采用PHP语言开发的强大且多功能的集成Web图形库脚本，广泛应用于网站的照片管理。最近发现Coppermine存在一些安全隐患。

在Coppermine的系统中，存在一个输入验证漏洞。这一漏洞主要存在于util.php和reviewcom.php文件中，由于这两个文件未能正确验证某些参数输入，使得远程攻击者有机会注入任意的SQL命令，从而控制SQL查询。docs/showdoc.php文件也存在着类似的问题，未能正确验证h和t参数输入，这可能引发在用户浏览器会话中执行任意HTML和脚本代码的风险。

这一安全漏洞可能会让恶意用户在用户浏览器中执行恶意代码，对网站和用户数据构成严重威胁。我们强烈建议所有使用Coppermine Photo Gallery的用户，尤其是版本为1.4.14的用户，尽快采取安全措施。

厂商措施：

幸运的是，厂商已经意识到了这一安全问题的严重性，并已发布了升级补丁以修复这个安全问题。为了您的网站安全，我们建议您立即前往厂商的主页下载的补丁包。

下载链接：

请注意，为了避免任何进一步的问题，您应该避免使用或执行任何与cambrian.render('body')相关的代码或命令，直至确保其安全性并得到专业建议。

安全是每一位网站管理员的首要任务，请务必重视并采取相应措施保护您的网站和用户数据。