漏洞标题
N/A
漏洞描述信息
当 statistics 更新启用时,AWStats 6.4 和 6.5 的 Web 界面允许远程攻击者通过迁移参数中的 shell 元字符执行任意代码。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The web interface for AWStats 6.4 and 6.5, when statistics updates are enabled, allows remote attackers to execute arbitrary code via shell metacharacters in the migrate parameter.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
AWStats migrate参数处理Shell 输入验证漏洞
漏洞描述信息
AWStats是一套开源的基于Web的网站流量分析软件。该软件能够生成可视化的Web、流媒体、FTP或服务器统计信息等。 AWStats对用户请求的处理上存在输入验证漏洞,远程攻击者可能利用此漏洞注入PHP代码执行任意命令。 AWStats的awstats.pl脚本没有对migrate变量值做充分的过滤检查,当AllowToUpdateStatsFromBrowser选项被使能的时候,远程攻击者可能利用漏洞注入任意的Shell命令以Web进程权限执行。
CVSS信息
N/A
漏洞类别
授权问题