Уязвимость в проверке правильности обнаружена в WebTrends log file analyzer. Удаленный пользователь может выполнить произвольный код сценария в браузере целевого пользователя, просматривающего отчеты. 

Infohacking Research сообщил, что удаленный пользователь может установить злонамеренное имя хоста, содержащее HTML код и затем сделать HTTP запрос на целевой сервер. Если целевой сервер выполняет обратный DNS поиск, код сценария будет записан в журнал регистрации Web сервера (в зависимости от конфигурации Web сервера). 

Когда целевой пользователь запускает отчет на файл регистрации, произвольный код сценария будет выполнен в браузере целевого пользователя. Уязвимость может использоваться для перехвата опознавательных данных, хранящихся в куки пользователя Пример: 

<script>alert( a )</script>
<script>alert( a )</script>.infohacking.com
<script>alert( a )</script>.infohacking.com

Уязвимость обнаружена в WebTrends Log analazer, SurfStats, WebLog Expert, Logan Pro.



Оставить мнение