Vigil@nce : AWStats, Cross Site Scripting
décembre 2008 par Vigil@nce
Un attaquant peut employer AWStats pour provoquer un Cross Site
Scripting afin d’exécuter du code JavaScript dans le contexte du
navigateur web de la victime.
– Gravité : 2/4
– Conséquences : accès/droits client
– Provenance : document
– Moyen d’attaque : 1 attaque
– Compétence de l’attaquant : technicien (2/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 08/12/2008
PRODUITS CONCERNÉS
– Debian Linux
– Fedora
– Mandriva Corporate
– Unix - plateforme
DESCRIPTION
Le programme AWStats est employé pour générer des statistiques
web, ftp ou mail. Ce programme est écrit en PERL, et affiche les
statistiques sur un serveur web.
Le script awstats.pl génère un document HTML, mais ne vérifie pas
si ses paramètres commencent par un guillemet (") ou une
apostrophe (’). Le code HTML généré contient alors des chaînes de
caractères qui sont directement interprétées par le navigateur web.
Un attaquant peut donc employer AWStats pour provoquer un Cross
Site Scripting afin d’exécuter du code JavaScript dans le contexte
du navigateur web de la victime.
CARACTÉRISTIQUES
– Références : BID-30730, CVE-2008-3714, DSA-1679-1,
FEDORA-2008-10938, FEDORA-2008-10950, FEDORA-2008-10962,
MDVSA-2008:203, VIGILANCE-VUL-8292
– Url : http://vigilance.fr/vulnerabilite/8292