Дата публикации: | 14.02.2005 |
Всего просмотров: | 5026 |
Опасность: | Высокая |
Наличие исправления: | |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | |
Воздействие: | |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | |
Уязвимые версии: AWStats 6.3 final и более ранние версии
Описание: 1. Уязвимость обнаружена в плагине rawlog при обработке переменных loadplugin и pluginmode. Удаленный пользователь может выполнить произвольный perl сценарий с привилегиями web-сервера или вызвать отказ в обслуживании. Пример: http://www.lan.server/cgi-bin/awstats-6.4/awstats.pl?&PluginMode=:print+getpwent 2. Удаленный пользователь может выполнить произвольный плагин. Уязвимость существует из-за недостаточной проверки данных перед вызовом функции require(). Пример: http://server/cgi-bin/awstats-6.4/awstats.pl?&loadplugin=../../../../usr/libdata/perl/5.00503/blib 3. Удаленный пользователь может получить доступ к важной информации, вызвав один из отладочных сценариев. Пример:
http://www.lan.server/cgi-bin/awstats-6.4/awstats.pl?debug=1 Пример/Эксплоит: См. Источник сообщения. URL производителя: http://awstats.sourceforge.net Решение: Установите обновление с сайта производителя. Уязвимость обнаружил mestereeo |
|
Ссылки: | Multiple vulnerabilities in AWStats |