Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce : AWStats, Cross Site Scripting

décembre 2008 par Vigil@nce

Un attaquant peut employer AWStats pour provoquer un Cross Site
Scripting afin d’exécuter du code JavaScript dans le contexte du
navigateur web de la victime.

 Gravité : 2/4
 Conséquences : accès/droits client
 Provenance : document
 Moyen d’attaque : 1 attaque
 Compétence de l’attaquant : technicien (2/4)
 Confiance : confirmé par l’éditeur (5/5)
 Diffusion de la configuration vulnérable : élevée (3/3)
 Date création : 08/12/2008

PRODUITS CONCERNÉS

 Debian Linux
 Fedora
 Mandriva Corporate
 Unix - plateforme

DESCRIPTION

Le programme AWStats est employé pour générer des statistiques
web, ftp ou mail. Ce programme est écrit en PERL, et affiche les
statistiques sur un serveur web.

Le script awstats.pl génère un document HTML, mais ne vérifie pas
si ses paramètres commencent par un guillemet (") ou une
apostrophe (’). Le code HTML généré contient alors des chaînes de
caractères qui sont directement interprétées par le navigateur web.

Un attaquant peut donc employer AWStats pour provoquer un Cross
Site Scripting afin d’exécuter du code JavaScript dans le contexte
du navigateur web de la victime.

CARACTÉRISTIQUES

 Références : BID-30730, CVE-2008-3714, DSA-1679-1,
FEDORA-2008-10938, FEDORA-2008-10950, FEDORA-2008-10962,
MDVSA-2008:203, VIGILANCE-VUL-8292
 Url : http://vigilance.fr/vulnerabilite/8292


Voir les articles précédents

    

Voir les articles suivants