Vigil@nce : AWStats, Cross Site Scripting
octobre 2009 par Vigil@nce
Un attaquant peut employer AWStats pour provoquer un Cross Site
Scripting afin d’exécuter du code JavaScript dans le contexte du
navigateur web de la victime.
Gravité : 2/4
Conséquences : accès/droits client
Provenance : document
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 12/10/2009
PRODUITS CONCERNÉS
– Mandriva Corporate
– Mandriva Enterprise Server
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme AWStats est employé pour générer des statistiques
web, ftp ou mail. Ce programme est écrit en PERL, et affiche les
statistiques sur un serveur web.
La vulnérabilité décrite dans le bulletin VIGILANCE-VUL-8292
(https://vigilance.fr/arbre/1/8292) n’était pas complètement
corrigée.
Un attaquant peut donc toujours employer AWStats pour provoquer un
Cross Site Scripting afin d’exécuter du code JavaScript dans le
contexte du navigateur web de la victime.
CARACTÉRISTIQUES
Références : CVE-2008-5080, MDVSA-2009:266, VIGILANCE-VUL-9081
http://vigilance.fr/vulnerabilite/AWStats-Cross-Site-Scripting-9081