Программа: AWStats 6.3 final и более ранние версии

Уязвимость позволяет удаленному
пользователю выполнить некоторые перл
директивы, вызвать отказ в обслуживании и
получить доступ к важной информации
пользователей.

1. Уязвимость обнаружена в плагине rawlog при
обработке переменных loadplugin и pluginmode.
Удаленный пользователь может выполнить
произвольный perl сценарий с привилегиями web-сервера
или вызвать отказ в обслуживании.

Пример:

http://www.lan.server/cgi-bin/awstats-6.4/ awstats.pl?&PluginMode=:print+getpwent

2. Удаленный пользователь может выполнить
произвольный плагин. Уязвимость существует
из-за недостаточной проверки данных перед
вызовом функции require().

Пример:

http://server/cgi-bin/awstats-6.4/awstats.pl?&loadplugin= ../../../../usr/libdata/perl/5.00503/blib

3. Удаленный пользователь может получить
доступ к важной информации, вызвав один из
отладочных сценариев.

Пример:

http://www.lan.server/cgi-bin/awstats-6.4/awstats.pl?debug=1
http://www.lan.server/cgi-bin/awstats-6.4/awstats.pl?debug=2

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии