Gravité : 2/4

Conséquences : accès/droits client

Provenance : document

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 12/10/2009

PRODUITS CONCERNÉS

– Mandriva Corporate
– Mandriva Enterprise Server
– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Le programme AWStats est employé pour générer des statistiques
web, ftp ou mail. Ce programme est écrit en PERL, et affiche les
statistiques sur un serveur web.

La vulnérabilité décrite dans le bulletin VIGILANCE-VUL-8292
(https://vigilance.fr/arbre/1/8292) n’était pas complètement
corrigée.

Un attaquant peut donc toujours employer AWStats pour provoquer un
Cross Site Scripting afin d’exécuter du code JavaScript dans le
contexte du navigateur web de la victime.

CARACTÉRISTIQUES

Références : CVE-2008-5080, MDVSA-2009:266, VIGILANCE-VUL-9081

http://vigilance.fr/vulnerabilite/AWStats-Cross-Site-Scripting-9081