Security Lab

Внедрение произвольного javascript кода в сгенерированные отчеты в DeepMetrix LiveStats server

Дата публикации:21.06.2002
Всего просмотров:1107
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: DeepMetrix LiveStats server – система анализа журналов регистрации Web сервера. Обнаруженная уязвимость позволяет удаленным атакующим включать произвольный JavaScript и HTML код в существующие Web страницы.

Изменяя специальным образом заголовки user-agent или referer в http запросе к Web сайту, журналы регистрации которого проверяет LiveStats, произвольный Javascript код может быть в браузере пользователя, просматривающего сгенерированные LiveStats HTML сообщения. Уязвимость позволяет удаленному атакующему получить доступ с защищенным страницам статистики и возможно к административной части программы.

Например:

user-agent - <script>alert("foo");</script>
Уязвимость обнаружена в LiveStats versions between 5.03 и 6.2.1
Ссылки: DeepMetrix LiveStats JavaScript Injection