Piwigo<= v2.7.1 SQL注入漏洞

90_

From：xd_xd
前段时间免费开源相册Piwigopwigo出了一个piwigo <= 2.6.0sql注入漏洞。漏洞公布的时候，piwigo已经更新到了2.7.1。但是，这个漏洞公布的时候确实是一个货真价实的0day，影响piwigo全版本。

下面是当时在官方网站测试的记录：

跟piwigo作者沟通了解到他们知道这个漏洞并且认为已经修复了。给他们提供了更多的细节和证明之后，piwigo很快发布了新版本。

漏洞分析
漏洞的分析看起来比较简单，是由于functions_rate.inc.php文件中的rate_picture函数没有对传入的$rate变量进行过滤，直接拼接到SQL中执行：
代码如下

为什么这么简单的一个问题，piwigo没有发现，认为这个漏洞已经修复了呢。关键在与rate_picture函数开头其实是有个对$rate变量的过滤的。

判断$rate是否是$conf[&#039;rate_items&#039;]的项。而后面这个数组的值是配置文件里写死的。

看起来这句的功能是设置了一个rate变量的白名单。只能是0,1,2,3,4,5其中之一。这样子应该很安全才对。当然事实证明这样子写是不安全的。当$rate = "5'aaaaaaaaaaaaaaaaa "时，in_array($rate, $conf['rate_items']) 这个判断是返回True的。这是php里不同类型变量比较时候的一个特性。
简言之：当字符串跟整型变量使用"=="比较的时候，会将字符串转换成整型，再进行比较。

所以，利用这个特性，相当于完全的bypass in_array的过滤。可以输入任意的数据拼接到SQL语句中，只要以数组中的数字开头就可以了。此外php中的switch也存在类似的特性。

_blue

沙发  小跑过来看看

admni

板凳。。。跑慢了  沙发没了。。。坐板凳学习下。。

f4ck009

很详细的分析，认真学习了

广岛秋泽

谢谢分享~            

jiu0baba

好高端的样子啊

羽懿521

很详细的分析，认真学习了

人=族

看不懂     技术没学好

285704248

谢谢分享