中国站

AWStats migrate参数处理Shell 输入验证漏洞

CNNVD-ID编号 CNNVD-200605-116 CVE编号 CVE-2006-2237
发布时间 2006-05-08 更新时间 2006-05-09
漏洞类型 输入验证 漏洞来源 Hendrik Weimer hendrik@enyo.de
危险等级 中危 威胁类型 远程
厂商 awstats

漏洞介绍

AWStats是一套开源的基于Web的网站流量分析软件。该软件能够生成可视化的Web、流媒体、FTP或服务器统计信息等。

AWStats对用户请求的处理上存在输入验证漏洞,远程攻击者可能利用此漏洞注入PHP代码执行任意命令。

AWStats的awstats.pl脚本没有对migrate变量值做充分的过滤检查,当AllowToUpdateStatsFromBrowser选项被使能的时候,远程攻击者可能利用漏洞注入任意的Shell命令以Web进程权限执行。

漏洞补丁

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接: http://www.debian.org/security/2005/dsa-1058

参考网址

受影响实体

信息来源

查询漏洞

    • 漏洞名称
    • CVE编号
    • CNNVD编号
  • 开始时间

  • 结束时间