Внедрение произвольного javascript кода в сгенерированные отчеты в DeepMetrix LiveStats server
| Дата публикации: | 21.06.2002 |
| Всего просмотров: | 1150 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | DeepMetrix LiveStats server – система анализа журналов регистрации Web сервера. Обнаруженная уязвимость позволяет удаленным атакующим включать произвольный JavaScript и HTML код в существующие Web страницы.
Изменяя специальным образом заголовки user-agent или referer в http запросе к Web сайту, журналы регистрации которого проверяет LiveStats, произвольный Javascript код может быть в браузере пользователя, просматривающего сгенерированные LiveStats HTML сообщения. Уязвимость позволяет удаленному атакующему получить доступ с защищенным страницам статистики и возможно к административной части программы. Например:
user-agent - <script>alert("foo");</script>
Уязвимость обнаружена в LiveStats versions between 5.03 и 6.2.1
|
| Ссылки: | DeepMetrix LiveStats JavaScript Injection |