viernes, 23 de septiembre de 2011

Múltiples vulnerabilidades en AWStats

Se han detectado vulnerabilidades en AWStats 6.95 y 7.0 que podrían permitir a un atacante remoto realizar diferentes tipos de ataques.

AWStats es una herramienta open source para la realización de informes de los accesos a servidores web, streaming, mail y FTP, y mostrar los resultados en formato HTML. Los informes resultantes presentan la información de forma visual en tablas y gráficos de barra.

Se han detectado diversas vulnerabilidades en el script Advanced Web Redirector (awredir.pl) al no validar correctamente los datos introducidos a través de los parámetros "url" y "key". Los problemas podrían permitir a un atacante remoto realizar ataques de cross-site scripting, inyección SQL o inyección CRLF.

No existe una actualización oficial disponible, por lo que las medidas recomendadas pasan por valorar el uso del script afectado y restringir su uso; o editar el código fuente para que las entradas afectadas sean adecuadamente tratadas.


Antonio Ropero
antonior@hispasec.com
http://www.twitter.com/aropero


Más información:

Aviso original
http://websecurity.com.ua/5380/

No hay comentarios:

Publicar un comentario en la entrada