Vulnerability Bulletins |
Cross-Site Scripting en AWStats |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Aumento de la visibilidad |
| Dificulty | Principiante |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | AWStats < 6.9 |
Description |
|
|
Se ha descubierto una vulnerabilidad de tipo Cross-Site Scripting en AWStats 6.8. La vulnerabilidad reside en un error en la validación de entrada del usuario en "awstats.pl". Un atacante remoto podría inyectar código web arbitrario mediante una URL especialmente diseñada. Exploit público disponible. |
|
Solution |
|
|
Actualización de software Debian (DSA-1679-1) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/a/awstats/awstats_6.5+dfsg-1+etch1.diff.gz http://security.debian.org/pool/updates/main/a/awstats/awstats_6.5+dfsg-1+etch1.dsc http://security.debian.org/pool/updates/main/a/awstats/awstats_6.5+dfsg.orig.tar.gz Arquitectura independiente: http://security.debian.org/pool/updates/main/a/awstats/awstats_6.5+dfsg-1+etch1_all.deb |
|
Standar resources |
|
| Property | Value |
| CVE | CVE-2008-3714 |
| BID | 30730 |
Other resources |
|
|
Debian Security Advisory (DSA-1679-1) http://lists.debian.org/debian-security-announce/2008/msg00271.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2008-12-03 |