DeepMetrix LiveStats server - система анализа журналов регистрации Web сервера. Обнаруженная уязвимость позволяет удаленным атакующим включать произвольный JavaScript и HTML код в существующие Web страницы. 

Изменяя специальным образом заголовки user-agent или referer в http запросе к Web сайту, журналы регистрации которого проверяет LiveStats, произвольный Javascript код может быть
выполнен в браузере пользователя, просматривающего сгенерированные LiveStats HTML сообщения. Уязвимость позволяет удаленному атакующему получить доступ с защищенным страницам статистики и возможно к административной части программы. 

Например:

user-agent - <script>alert("foo");</script>

Уязвимость обнаружена в LiveStats versions between 5.03 и 6.2.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии