Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : AWStats, Cross Site Scripting

décembre 2008 par Vigil@nce

Un attaquant peut employer AWStats pour provoquer un Cross Site Scripting afin d’exécuter du code JavaScript dans le contexte du navigateur web de la victime.

- Gravité : 2/4
- Conséquences : accès/droits client
- Provenance : document
- Moyen d’attaque : 1 attaque
- Compétence de l’attaquant : technicien (2/4)
- Confiance : confirmé par l’éditeur (5/5)
- Diffusion de la configuration vulnérable : élevée (3/3)
- Date création : 08/12/2008

PRODUITS CONCERNÉS

- Debian Linux
- Fedora
- Mandriva Corporate
- Unix - plateforme

DESCRIPTION

Le programme AWStats est employé pour générer des statistiques web, ftp ou mail. Ce programme est écrit en PERL, et affiche les statistiques sur un serveur web.

Le script awstats.pl génère un document HTML, mais ne vérifie pas si ses paramètres commencent par un guillemet (") ou une apostrophe (’). Le code HTML généré contient alors des chaînes de caractères qui sont directement interprétées par le navigateur web.

Un attaquant peut donc employer AWStats pour provoquer un Cross Site Scripting afin d’exécuter du code JavaScript dans le contexte du navigateur web de la victime.

CARACTÉRISTIQUES

- Références : BID-30730, CVE-2008-3714, DSA-1679-1, FEDORA-2008-10938, FEDORA-2008-10950, FEDORA-2008-10962, MDVSA-2008:203, VIGILANCE-VUL-8292
- Url : http://vigilance.fr/vulnerabilite/8292




Voir les articles précédents

    

Voir les articles suivants