Внедрение произвольного javascript кода в сгенерированные отчеты в DeepMetrix LiveStats server

Дата публикации:
21.06.2002
Всего просмотров:
782
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: DeepMetrix LiveStats server – система анализа журналов регистрации Web сервера. Обнаруженная уязвимость позволяет удаленным атакующим включать произвольный JavaScript и HTML код в существующие Web страницы.

Изменяя специальным образом заголовки user-agent или referer в http запросе к Web сайту, журналы регистрации которого проверяет LiveStats, произвольный Javascript код может быть в браузере пользователя, просматривающего сгенерированные LiveStats HTML сообщения. Уязвимость позволяет удаленному атакующему получить доступ с защищенным страницам статистики и возможно к административной части программы.

Например:

user-agent - <script>alert("foo");</script>
Уязвимость обнаружена в LiveStats versions between 5.03 и 6.2.1

Ссылки: DeepMetrix LiveStats JavaScript Injection
или введите имя

CAPTCHA